Contactez-nous du lundi au samedi de 09h00 à 18h00 – +33 (0)6.02.13.31.41 – hello@boldcreative.fr

ACTU

> ACTU > RGPD, C’EST QUOI ?
RGPD - RÚglement générale de la protection des données, c'est quoi ?
RGPD - RÚglement générale de la protection des données, c'est quoi ?
DonnĂ©es personnelles, traitement des donnĂ©es, RGPD, c’est quoi ?

Le sigle RGPD signifie « RĂšglement GĂ©nĂ©ral sur la Protection des DonnĂ©es » (« General Data Protection Regulation » ou GDPR en anglais). Le RGPD encadre le traitement des donnĂ©es personnelles sur tout le territoire de l’Union europĂ©enne.

Ce rĂšglement europĂ©en s’inscrit dans la continuitĂ© de la Loi française Informatique et LibertĂ©s de 1978 et renforce le contrĂŽle par les citoyens de l’utilisation qui peut ĂȘtre faite des donnĂ©es les concernant.
Il harmonise les rĂšgles en Europe en offrant un cadre juridique unique aux professionnels tout en suivant les Ă©volutions technologiques. Il permet de dĂ©velopper leurs activitĂ©s numĂ©riques au sein de l’UE en se fondant sur la confiance des utilisateurs.

Qui est concerné par le RGPD ?

Tout organisme quels que soient sa taille, son pays d’implantation et son activitĂ©, peut ĂȘtre concernĂ©. Le RGPD s’applique Ă  toute organisation, publique et privĂ©e, qui traite des donnĂ©es personnelles pour son compte ou non, dĂšs lors :

▶ qu’elle est Ă©tablie sur le territoire de l’Union europĂ©enne,
▶ ou que son activitĂ© cible directement des rĂ©sidents europĂ©ens.

Le RGPD concerne aussi les sous-traitants qui traitent des donnĂ©es personnelles pour le compte d’autres organismes.
Ainsi, si vous traitez ou collectez des donnĂ©es pour le compte d’une autre entitĂ© (entreprise, collectivitĂ©, association), vous avez des obligations spĂ©cifiques pour garantir la protection des donnĂ©es qui vous sont confiĂ©es.

Données personnelles, non personnelles et données sensibles, quelle est la différence ?

Les donnĂ©es personnelles (ou donnĂ©e Ă  caractĂšre personnel) sont rĂ©gies par les principes de protection des donnĂ©es du GDPR. Elles dĂ©signent toute information se rapportant Ă  une personne identifiĂ©e ou identifiable directement ou indirectement : Il peut s’agir d’un nom, un prĂ©nom, d’une photographie, d’une adresse IP, d’un numĂ©ro de tĂ©lĂ©phone, d’un identifiant de connexion informatique, d’une adresse postale ou d’un email, d’un enregistrement vocal, d’un numĂ©ro de sĂ©curitĂ© sociale, etc…

Les donnĂ©es non personnelles sont des donnĂ©es qui n’ont pas besoin de protection particuliĂšre. Il peut s’agir de l’adresse postale d’une entreprise, de son adresse email,… etc

Les données sensibles quant à elles concernent une situation médicale, appartenance à un syndicat, opinions politiques ou religieuses, une appartenance ethnique, une orientation sexuelle, données génétiques, biométriques

Elles ont un cadre particulier, qui interdit toute collecte prĂ©alable sans consentement Ă©crit, clair et explicite, et pour des cas prĂ©cis, validĂ©s par la CNIL et dont l’intĂ©rĂȘt public est avĂ©rĂ©.

Les principes clés de protection des données

Tous les traitements de données sont encadrés par des rÚgles à connaßtre et à appliquer :

▶ La transparence : les donnĂ©es doivent ĂȘtre collectĂ©es de maniĂšre « licite, loyale et transparente ».

▶ La limitation des finalitĂ©s : les donnĂ©es doivent ĂȘtre « collectĂ©es pour des finalitĂ©s dĂ©terminĂ©es, explicites et lĂ©gitimes ».

▶ La minimisation : les donnĂ©es doivent ĂȘtre traitĂ©es de maniĂšre « adĂ©quate, pertinente et limitĂ©e » au regard de la finalitĂ© de traitement. Autrement dit, il ne faut collecter que les donnĂ©es indispensables Ă  l’objectif poursuivi.

▶ L’exactitude : les donnĂ©es doivent ĂȘtre « exactes et mises Ă  jour » au regard de la finalitĂ© de traitement.

▶ La durĂ©e de conservation : les donnĂ©es personnelles doivent ĂȘtre conservĂ©es uniquement le temps nĂ©cessaire au traitement.

▶ La sĂ©curitĂ© et la confidentialitĂ© : le responsable du traitement doit « garantir une sĂ©curitĂ© appropriĂ©e des donnĂ©es ».

Quels sont les droits des personnes sur leur données personnelles

▶ Le droit Ă  la portabilitĂ©
▶ Le droit d’accĂšs
▶ Le droit de rectification
▶ Le droit Ă  l’oubli
▶ Le droit Ă  l’information
▶ Le droit d’opposition
▶ Le droit Ă  rĂ©clamation
▶ Le droit Ă  rĂ©paration

Qui fait autorité pour gérer le RGPD ?

En France, la CNIL (Commission nationale de l’informatique et des libertĂ©s) est l’autoritĂ© de rĂ©fĂ©rence pour gĂ©rer le RGPD.
La CNIL a été créée par la loi Informatique et Libertés du 6 janvier 1978. Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés.

QUELLES SONT LES SANCTIONS ENCOURUES PAR LE RGPD ?

Les sanctions sont particuliĂšrement Ă©levĂ©es, il est donc primordial que les organisations ont tout intĂ©rĂȘt Ă  respecter Ă  la lettre le RGPD : en cas d’infraction, des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice prĂ©cĂ©dent sont prĂ©vues pour l’organisme fautif, sachant que c’est le montant le plus Ă©levĂ© qui est retenu entre les deux cas de figure.
L’amende pourrait atteindre des dizaines ou des centaines de millions de dollars, voire davantage.
Il convient aussi de noter qu’une sociĂ©tĂ© doit veiller Ă  ce que son sous-traitant reste bien dans les clous de la loi, sous peine d’en subir les consĂ©quences, du fait de sa qualitĂ© de responsable du traitement.

Alors, par oĂč commencer ?

Mettre en place un plan d’action

ÉTAPE 1 ▶ Retracer toutes les donnĂ©es collectĂ©es dans l’entreprise

ÉTAPE 2 ▶ Constituer un registre de vos traitements de donnĂ©es collectĂ©es pour obtenir une vision d’ensemble.

ÉTAPE 3 ▶ Faire le tri dans vos donnĂ©es vous permet de vous interroger sur les donnĂ©es dont votre entreprise a rĂ©ellement besoin.

ÉTAPE 4 ▶ Respecter les droits des personnes en les informant et en leur permettant d’exercer facilement leurs droits.

ÉTAPE 5 ▶ SĂ©curiser vos donnĂ©es.

ÉTAPE 6 ▶ Sensibiliser votre personnel au RGPD.

Votre site internet est-il conforme au RGPD ?

ÉTAPE 1 ▶ ContrĂŽler les donnĂ©es personnelles collectĂ©es sur le site web.

ÉTAPE 2 ▶ Proposer des mentions d’informations pour le site web (mentions lĂ©gales, politique de confidentialitĂ©, formulaire etc…).

ÉTAPE 3 ▶ IntĂ©grer un bandeau de cookies et suggestions.

ÉTAPE 4 ▶ SĂ©curiser votre site internet.

Confier la protection des données à un DPO ?

Le dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es (DPO ou Data Protection Officer en anglais) est en charge de la protection des donnĂ©es au sein d’une entreprise. Il est l’expert qui accompagne votre entreprise dans la mise en place des procĂ©dures et des rĂšgles Ă  mĂȘme d’assurer sa conformitĂ© au RGPD Ă  travers le temps.

Si vous souhaiter opter pour le choix d’un DPO, vous devez vous baser sur plusieurs critĂšres objectifs. Un DPO compĂ©tent est une personne qui dispose :

▶ D’une forte culture juridique, et en particulier d’une parfaite connaissance du droit relatif Ă  la protection des donnĂ©es personnelles.
▶ De trĂšs bonnes connaissances en informatique et en droit de l’informatique – en particulier en cyber-sĂ©curitĂ©.

Si vous ĂȘtes un petit commerçant ou une profession libĂ©rale, vous n’exercez pas de traitements Ă  grande Ă©chelle de donnĂ©es personnelles. Vous n’avez donc pas obligation de dĂ©signer un DPO.

Bold Creative - Web - Responsive Design