ACTU
DonnĂ©es personnelles, traitement des donnĂ©es, RGPD, c’est quoi ?
Le sigle RGPD signifie « RĂšglement GĂ©nĂ©ral sur la Protection des DonnĂ©es » (« General Data Protection Regulation » ou GDPR en anglais). Le RGPD encadre le traitement des donnĂ©es personnelles sur tout le territoire de lâUnion europĂ©enne.
Ce rĂšglement europĂ©en sâinscrit dans la continuitĂ© de la Loi française Informatique et LibertĂ©s de 1978 et renforce le contrĂŽle par les citoyens de lâutilisation qui peut ĂȘtre faite des donnĂ©es les concernant.
Il harmonise les rĂšgles en Europe en offrant un cadre juridique unique aux professionnels tout en suivant les Ă©volutions technologiques. Il permet de dĂ©velopper leurs activitĂ©s numĂ©riques au sein de lâUE en se fondant sur la confiance des utilisateurs.
Qui est concerné par le RGPD ?
Tout organisme quels que soient sa taille, son pays dâimplantation et son activitĂ©, peut ĂȘtre concernĂ©. Le RGPD sâapplique Ă toute organisation, publique et privĂ©e, qui traite des donnĂ©es personnelles pour son compte ou non, dĂšs lors :
ⶠqu’elle est Ă©tablie sur le territoire de lâUnion europĂ©enne,
ⶠou que son activité cible directement des résidents européens.
Le RGPD concerne aussi les sous-traitants qui traitent des donnĂ©es personnelles pour le compte dâautres organismes.
Ainsi, si vous traitez ou collectez des donnĂ©es pour le compte dâune autre entitĂ© (entreprise, collectivitĂ©, association), vous avez des obligations spĂ©cifiques pour garantir la protection des donnĂ©es qui vous sont confiĂ©es.
Données personnelles, non personnelles et données sensibles, quelle est la différence ?
Les donnĂ©es personnelles (ou donnĂ©e Ă caractĂšre personnel) sont rĂ©gies par les principes de protection des donnĂ©es du GDPR. Elles dĂ©signent toute information se rapportant Ă une personne identifiĂ©e ou identifiable directement ou indirectement : Il peut sâagir dâun nom, un prĂ©nom, dâune photographie, dâune adresse IP, dâun numĂ©ro de tĂ©lĂ©phone, dâun identifiant de connexion informatique, dâune adresse postale ou d’un email, dâun enregistrement vocal, dâun numĂ©ro de sĂ©curitĂ© sociale, etc…
Les donnĂ©es non personnelles sont des donnĂ©es qui nâont pas besoin de protection particuliĂšre. Il peut s’agir de l’adresse postale d’une entreprise, de son adresse email,… etc
Les donnĂ©es sensibles quant Ă elles concernent une situation mĂ©dicale, appartenance Ă un syndicat, opinions politiques ou religieuses, une appartenance ethnique, une orientation sexuelle, donnĂ©es gĂ©nĂ©tiques, biomĂ©triquesâŠ
Elles ont un cadre particulier, qui interdit toute collecte prĂ©alable sans consentement Ă©crit, clair et explicite, et pour des cas prĂ©cis, validĂ©s par la CNIL et dont lâintĂ©rĂȘt public est avĂ©rĂ©.
Les principes clés de protection des données
Tous les traitements de données sont encadrés par des rÚgles à connaßtre et à appliquer :
ⶠLa transparence : les donnĂ©es doivent ĂȘtre collectĂ©es de maniĂšre « licite, loyale et transparente ».
ⶠLa limitation des finalitĂ©s : les donnĂ©es doivent ĂȘtre « collectĂ©es pour des finalitĂ©s dĂ©terminĂ©es, explicites et lĂ©gitimes ».
ⶠLa minimisation : les donnĂ©es doivent ĂȘtre traitĂ©es de maniĂšre « adĂ©quate, pertinente et limitĂ©e » au regard de la finalitĂ© de traitement. Autrement dit, il ne faut collecter que les donnĂ©es indispensables Ă lâobjectif poursuivi.
ⶠLâexactitude : les donnĂ©es doivent ĂȘtre « exactes et mises Ă jour » au regard de la finalitĂ© de traitement.
ⶠLa durĂ©e de conservation : les donnĂ©es personnelles doivent ĂȘtre conservĂ©es uniquement le temps nĂ©cessaire au traitement.
ⶠLa sécurité et la confidentialité : le responsable du traitement doit « garantir une sécurité appropriée des données ».
Quels sont les droits des personnes sur leur données personnelles
ⶠLe droit à la portabilité
ⶠLe droit dâaccĂšs
ⶠLe droit de rectification
ⶠLe droit Ă lâoubli
ⶠLe droit Ă lâinformation
ⶠLe droit dâopposition
ⶠLe droit à réclamation
ⶠLe droit à réparation
Qui fait autorité pour gérer le RGPD ?
En France, la CNIL (Commission nationale de lâinformatique et des libertĂ©s) est lâautoritĂ© de rĂ©fĂ©rence pour gĂ©rer le RGPD.
La CNIL a été créée par la loi Informatique et Libertés du 6 janvier 1978. Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés.
QUELLES SONT LES SANCTIONS ENCOURUES PAR LE RGPD ?
Les sanctions sont particuliĂšrement Ă©levĂ©es, il est donc primordial que les organisations ont tout intĂ©rĂȘt Ă respecter Ă la lettre le RGPD : en cas dâinfraction, des amendes jusquâĂ 20 millions dâeuros ou 4 % du chiffre dâaffaires annuel mondial total de lâexercice prĂ©cĂ©dent sont prĂ©vues pour lâorganisme fautif, sachant que câest le montant le plus Ă©levĂ© qui est retenu entre les deux cas de figure.
Lâamende pourrait atteindre des dizaines ou des centaines de millions de dollars, voire davantage.
Il convient aussi de noter quâune sociĂ©tĂ© doit veiller Ă ce que son sous-traitant reste bien dans les clous de la loi, sous peine dâen subir les consĂ©quences, du fait de sa qualitĂ© de responsable du traitement.
Alors, par oĂč commencer ?
Mettre en place un plan d’action
ĂTAPE 1 ⶠRetracer toutes les donnĂ©es collectĂ©es dans l’entreprise
ĂTAPE 2 ⶠConstituer un registre de vos traitements de donnĂ©es collectĂ©es pour obtenir une vision dâensemble.
ĂTAPE 3 ⶠFaire le tri dans vos donnĂ©es vous permet de vous interroger sur les donnĂ©es dont votre entreprise a rĂ©ellement besoin.
ĂTAPE 4 ⶠRespecter les droits des personnes en les informant et en leur permettant dâexercer facilement leurs droits.
ĂTAPE 5 ⶠSĂ©curiser vos donnĂ©es.
ĂTAPE 6 ⶠSensibiliser votre personnel au RGPD.
Votre site internet est-il conforme au RGPD ?
ĂTAPE 1 ⶠContrĂŽler les donnĂ©es personnelles collectĂ©es sur le site web.
ĂTAPE 2 ⶠProposer des mentions dâinformations pour le site web (mentions lĂ©gales, politique de confidentialitĂ©, formulaire etc…).
ĂTAPE 3 ⶠIntĂ©grer un bandeau de cookies et suggestions.
ĂTAPE 4 ⶠSĂ©curiser votre site internet.
Confier la protection des données à un DPO ?
Le dĂ©lĂ©guĂ© Ă la protection des donnĂ©es (DPO ou Data Protection Officer en anglais) est en charge de la protection des donnĂ©es au sein d’une entreprise. Il est lâexpert qui accompagne votre entreprise dans la mise en place des procĂ©dures et des rĂšgles Ă mĂȘme dâassurer sa conformitĂ© au RGPD Ă travers le temps.
Si vous souhaiter opter pour le choix d’un DPO, vous devez vous baser sur plusieurs critĂšres objectifs. Un DPO compĂ©tent est une personne qui dispose :
ⶠDâune forte culture juridique, et en particulier dâune parfaite connaissance du droit relatif Ă la protection des donnĂ©es personnelles.
ⶠDe trĂšs bonnes connaissances en informatique et en droit de lâinformatique â en particulier en cyber-sĂ©curitĂ©.
Si vous ĂȘtes un petit commerçant ou une profession libĂ©rale, vous nâexercez pas de traitements Ă grande Ă©chelle de donnĂ©es personnelles. Vous nâavez donc pas obligation de dĂ©signer un DPO.