ACTU
Données personnelles, traitement des données, RGPD, c’est quoi ?
Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (« General Data Protection Regulation » ou GDPR en anglais). Le RGPD encadre le traitement des données personnelles sur tout le territoire de l’Union européenne.
Ce règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.
Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels tout en suivant les évolutions technologiques. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.
Qui est concerné par le RGPD ?
Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. Le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
▶ qu’elle est établie sur le territoire de l’Union européenne,
▶ ou que son activité cible directement des résidents européens.
Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.
Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.
Données personnelles, non personnelles et données sensibles, quelle est la différence ?
Les données personnelles (ou donnée à caractère personnel) sont régies par les principes de protection des données du GDPR. Elles désignent toute information se rapportant à une personne identifiée ou identifiable directement ou indirectement : Il peut s’agir d’un nom, un prénom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale ou d’un email, d’un enregistrement vocal, d’un numéro de sécurité sociale, etc…
Les données non personnelles sont des données qui n’ont pas besoin de protection particulière. Il peut s’agir de l’adresse postale d’une entreprise, de son adresse email,… etc
Les données sensibles quant à elles concernent une situation médicale, appartenance à un syndicat, opinions politiques ou religieuses, une appartenance ethnique, une orientation sexuelle, données génétiques, biométriques…
Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la CNIL et dont l’intérêt public est avéré.
Les principes clés de protection des données
Tous les traitements de données sont encadrés par des règles à connaître et à appliquer :
▶ La transparence : les données doivent être collectées de manière « licite, loyale et transparente ».
▶ La limitation des finalités : les données doivent être « collectées pour des finalités déterminées, explicites et légitimes ».
▶ La minimisation : les données doivent être traitées de manière « adéquate, pertinente et limitée » au regard de la finalité de traitement. Autrement dit, il ne faut collecter que les données indispensables à l’objectif poursuivi.
▶ L’exactitude : les données doivent être « exactes et mises à jour » au regard de la finalité de traitement.
▶ La durée de conservation : les données personnelles doivent être conservées uniquement le temps nécessaire au traitement.
▶ La sécurité et la confidentialité : le responsable du traitement doit « garantir une sécurité appropriée des données ».
Quels sont les droits des personnes sur leur données personnelles
▶ Le droit à la portabilité
▶ Le droit d’accès
▶ Le droit de rectification
▶ Le droit à l’oubli
▶ Le droit à l’information
▶ Le droit d’opposition
▶ Le droit à réclamation
▶ Le droit à réparation
Qui fait autorité pour gérer le RGPD ?
En France, la CNIL (Commission nationale de l’informatique et des libertés) est l’autorité de référence pour gérer le RGPD.
La CNIL a été créée par la loi Informatique et Libertés du 6 janvier 1978. Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés.
QUELLES SONT LES SANCTIONS ENCOURUES PAR LE RGPD ?
Les sanctions sont particulièrement élevées, il est donc primordial que les organisations ont tout intérêt à respecter à la lettre le RGPD : en cas d’infraction, des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent sont prévues pour l’organisme fautif, sachant que c’est le montant le plus élevé qui est retenu entre les deux cas de figure.
L’amende pourrait atteindre des dizaines ou des centaines de millions de dollars, voire davantage.
Il convient aussi de noter qu’une société doit veiller à ce que son sous-traitant reste bien dans les clous de la loi, sous peine d’en subir les conséquences, du fait de sa qualité de responsable du traitement.
Alors, par où commencer ?
Mettre en place un plan d’action
ÉTAPE 1 ▶ Retracer toutes les données collectées dans l’entreprise
ÉTAPE 2 ▶ Constituer un registre de vos traitements de données collectées pour obtenir une vision d’ensemble.
ÉTAPE 3 ▶ Faire le tri dans vos données vous permet de vous interroger sur les données dont votre entreprise a réellement besoin.
ÉTAPE 4 ▶ Respecter les droits des personnes en les informant et en leur permettant d’exercer facilement leurs droits.
ÉTAPE 5 ▶ Sécuriser vos données.
ÉTAPE 6 ▶ Sensibiliser votre personnel au RGPD.
Votre site internet est-il conforme au RGPD ?
ÉTAPE 1 ▶ Contrôler les données personnelles collectées sur le site web.
ÉTAPE 2 ▶ Proposer des mentions d’informations pour le site web (mentions légales, politique de confidentialité, formulaire etc…).
ÉTAPE 3 ▶ Intégrer un bandeau de cookies et suggestions.
ÉTAPE 4 ▶ Sécuriser votre site internet.
Confier la protection des données à un DPO ?
Le délégué à la protection des données (DPO ou Data Protection Officer en anglais) est en charge de la protection des données au sein d’une entreprise. Il est l’expert qui accompagne votre entreprise dans la mise en place des procédures et des règles à même d’assurer sa conformité au RGPD à travers le temps.
Si vous souhaiter opter pour le choix d’un DPO, vous devez vous baser sur plusieurs critères objectifs. Un DPO compétent est une personne qui dispose :
▶ D’une forte culture juridique, et en particulier d’une parfaite connaissance du droit relatif à la protection des données personnelles.
▶ De très bonnes connaissances en informatique et en droit de l’informatique – en particulier en cyber-sécurité.
Si vous êtes un petit commerçant ou une profession libérale, vous n’exercez pas de traitements à grande échelle de données personnelles. Vous n’avez donc pas obligation de désigner un DPO.
