Règlement Européen sur la protection des données personnelles (RGPD)

Un éclairage sur la RGPD

Quelques dates :

La question sur la protection des données n’est pas nouvelle.
La Loi informatique et libertés date du 6 janvier 1978 !

Le Règlement (UE) 2016/679 du Parlement Européen et du Conseil a été voté le 27 avril 2016
Il est applicable à compter du 25 mai 2018

Le contenu n’est pas nouveau, ce qui est déroutant est le moyen de « tout mettre en œuvre ».
C’est un des principes anglo-saxon.
On n’est pas encore sur l’obligation de résultats, mais sur une obligation de moyens renforcés.

La RGPD est une réponse au niveau Européen, dans une idée d’uniformisation.
Elle est applicable dans toute l’Union Européenne à compter du 25 mai 2018.

Etat des lieux :

90 % des données disponibles aujourd’hui dans le monde ont été créées lors des deux dernières années.
Le nombre de données enregistrées double tous les trois ans !

Le règlement est sorti en 2016, soit il y a deux ans
En 2017 seule une entreprise sur deux avait entendu parler de cette règlementation
20 % seulement se sont mises en conformité

La RGPD répond à 3 objectifs :

 Renforcer les droits des personnes
 Responsabiliser les acteurs traitant des données
 Crédibiliser la régulation, grâce à la coopération renforcée entre les autorités de protection des données

Quelques notions :

Qu’est-ce qu’une donnée personnelle ?
Toute information se rapportant à une personne physique identifiée ou identifiable.

Qu’est-ce qu’un traitement de données ?
Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel

Ne pas confondre donnée personnelle et donnée confidentielle !

Cette règlementation s’applique à tout type de structures, de la micro-entreprise à la grande entreprise, aux professions libérales, médecins, aux associations etc…
Tout le monde est concerné, tout le monde a les mêmes obligations.

Tout le monde traite des données, de près ou de loin.
A titre de professionnel ou/et à titre personnel
Dès lors que vous disposez d’un fichier d’adresses, exemple fichier de contacts / fichier clients

La règlementation concerne aussi bien les données papier, que les données informatiques.
Attention aux prestataires, aux hébergeurs notamment, qui stockent des données !

Objectif des données :

Les données collectées doivent avoir une finalité licite.
La finalité doit être clairement annoncée, ex. collecte des données d’un salarié, dans l’objectif de le déclarer et d’établir ses fiches de payes.
Fichier clients dans l’objectif de lui adresser un devis, une facture, certains éléments sont nécessaires.

L’article 32 met obligation d’informer les personnes concernées par la collecte des données personnelles

Minimiser les données collectées à l’usage stricte nécessaire
Se débarrasser des données dont elle n’a plus besoin

Les obligations :

Tout mettre en œuvre pour protéger ses données, se mettre en conformité avec le règlement et
pouvoir le prouver.

Pouvoir prouver la sécurité des données.

La CNIL veille au respect de la protection des données
Elle fait des vérifications

Si on constate la violation des données, il faut faire une déclaration à la CNIL dans les 72 heures
et pouvoir prouver la protection des données.
Obligation est également faite de prévenir les personnes concernées.

Sanctions en cas de manquement au règlement, amandes voir emprisonnement.

Les moyens :

Identifier tous les endroits où les données peuvent être stockées (exemple serveur)
Même ceux auxquels on ne pense pas, exemple boîte mail (endroit sensible)

L’entreprise doit analyser ses données, mettre des process en place

Ça doit être une démarche pro-active
La mise en conformité doit être dynamique et continue, elle doit évoluer au fil de la vie de l’entreprise.

L’entreprise est responsable et doit être transparente.

L’ensemble du personnel d’une entreprise est concerné, pas seulement le dirigeant, ou responsable. Une sensibilisation du personnel est donc nécessaire.

C’est une culture d’entreprise !
Possibilité de mettre une charte en place.

La protection des données :

Les fichiers inactifs (exemple papier) doivent être archivés et mis à l’abri, et sécurisés.

Les fichiers actifs, les entreprises doivent s’assurer de la sécurité de ces données.
(papier ou informatique).
Assurer la sécurité par rapport à l’accès et par rapport à l’intrusion.

Protection de son matériel informatique contre les intrusions, le vol, les détériorations, l’incendie.
Attention aux objets en Bluetooth !! intrusion possible !!

Sécuriser ses postes informatiques par chaque salarié par des mots de passe changés régulièrement !
Attention aux post-il sur les écrans avec le MP !!
Les principaux problèmes viennent souvent de l’intérieur de l’entreprise !

 

Procédure de mise en œuvre de la protection des données :

1  –  Désigner un pilote
2 – Cartographier les traitements de données personnelles
3 – Prioriser les actions
4 – Gérer les risques
5 – Organiser les processus internes
6 – Documenter la conformité

Catégories : Règlementation

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *