Comprendre les fondamentaux du RGPD
Le RGPD est entré en vigueur le 25 mai 2018. Avec lui, le renforcement d’anciennes notions et la création de nouvelles ont éclos et parfois bouleversé le monde du numérique. Zoom sur ces notions et sur les tenants et aboutissants de ce règlement devenu la bête noire des géants du digital.
RGPD : ces quatre lettres n’ont échappé à aucune entreprise. Pourtant, ses réalités peuvent être difficiles à appréhender.
En effet, qui est réellement concerné ? Comment l’appliquer ? Quelles sont les nouvelles obligations ? Autant de questions fondamentales dont les réponses sont encore bien trop souvent floues.
Lumière sur cette nouvelle vague de la protection des données.
Pourquoi le RGPD ?
A quoi s’applique le RGPD ?
Qui doit mettre en place le RGPD ?
Les fondamentaux du RGPD
Les droits des personnes
La gestion interne et le RGPD (DPO, PIA, autorité chef de file…)
Les sanctions
La protection des données personnelles avant mai 2018
Non, il n’a pas fallu attendre le 25 mai 2018 pour que les personnes physiques soient protégées…
Pourquoi le RGPD ?
Une actualisation
Car, si les Français n’étaient pas sans protection, le cadre juridique n’était pas franchement nouveau. Le monde du numérique évoluant quotidiennement à une vitesse sans précédent, il était grand temps de dépoussiérer ces anciens textes.
Le RGPD l’a fait !
Une protection étendue
Au-delà de s’appliquer aux entreprises situées sur le territoire de l’union, il peut s’appliquer à des entreprises qui ne sont pas situées sur le territoire Européen ou encore aux entreprises Européennes qui traitent des données à l’extérieur du territoire de l’Union.
Une protection renforcée
La protection des droits et libertés fondamentaux des personnes est un objectif clairement mis en avant par le RGPD. La volonté de l’Europe a été de protéger ces dernières en redonnant du pouvoir à leur choix concernant leurs données.
Une harmonisation
La forme réglementaire choisie par l’Union pour le RGPD n’est pas anodine. Par ce format, l’Union montre sa volonté d’impacter profondément les Etats-membres afin d’obtenir une unification plus importante des législations. Grâce à ce format, la protection est plus efficace et efficiente. L’Union a voulu en finir avec les disparités créées par la directive 95/46/CE.
A quoi s’applique le RGPD ?
Explications …
Données à caractère personnel
Toute information qui concerne une personne physique (nom, adresse, numéro de téléphone, géolocalisation, adresse mail, préférences…)
Traitement / circulation
Toute action qui va être menée sur une donnée depuis sa collecte jusqu’à sa suppression (téléchargement, transfert, enregistrement…)
Qui doit mettre en place le RGPD ?
Tout type d’organisme, association, groupe d’entreprise, établissement… :
En bref et en image :
Mais qui traite des données de personnes physiques sur le territoire de l’Union dans le cadre :
- D’une offre de biens ou de service
- D’un suivi du comportement des particuliers sur internet (comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel).
En bref et en image :
Sont exclues :
- Les entreprises dont l’activité ne relève pas de l’Union Européenne
- Les autorités publiques dans l’exercice de leurs fonctions officielles.
Les fondamentaux du RGPD
Une fois que seules les données nécessaires ont été collectées, le règlement Européen donne des principes qui doivent servir de ligne de conduite lors du traitement des données. Ces garde-fous doivent guider toutes vos démarches lors du traitement des données en votre possession.
Ces gardes fous sont les suivants :
Loyauté
Licéité
Transparence
En savoir plus sur les principes fondamentaux du RGPD
Les droits des personnes
Droit à la limitation / droit d’opposition
Droit à l’oubli
Droit à la portabilité
Droit à la rectification
Droit d’accès
Droit à l’information
Grâce à ces droits, la personne physique à la possibilité de limiter ou de s’opposer à la collecte de ses données.
Novateur, ce droit offre la possibilité à toute personne de récupérer ses données sur un format lisible par une machine. Aucun obstacle ne peut être dressé par le responsable des données.
Un transfert direct de professionnel à professionnel peut être demandé par le propriétaire des données (lorsque cela est possible).
Ce droit permet à toute personne de demander au responsable du traitement s’il est en possession de données la concernant et de lui en transmettre le contenu.
Ce droit d’accès va permettre, une fois les informations obtenues d’accéder à d’autres droits :
Il est la possibilité de demander la suppression des données lorsque l’un des cas suivants est rencontré:
– La sauvegarde des données n’est plus nécessaire
– La personne concernée a retiré son consentement
– Le traitement n’est pas légitime / la personne s’y oppose
– Le traitement est illicite
– Une obligation légale l’impose
En conséquence, le responsable du traitement est dans l’obligation de les effacer et ce dans les meilleurs délais.
Ce droit offre la possibilité à la personne physique, en cas d’inexactitude concernant ses données, d’en demander la modification.
Ce droit est celui par lequel la personne morale va porter à la connaissance du consommateurs certaines informations (qui est le responsable de traitement, qui va avoir accès aux données…)
Il est une réponse à la nécessité de transparence.
La gestion interne et le RGPD
Le délégué à la protection des données
Le délégué à la Protection des Données – DPD (ou Data Protection Officer DPO) est un chef d’orchestre chargé de la conformité des actions de l’entreprise avec les textes normatifs de protection des données.
– Organismes publics ou privés mettant en œuvre une mission de service public
– Les entreprises amenées à faire à grande échelle un suivi régulier et systématique des données personnelles collectées
– Les entreprises amenées à traiter des catégories particulières d’informations et des condamnations pénales ou infractions
L’analyse d’impact
Une analyse d’impact sur la protection des données doit obligatoirement être menée dès lors que votre traitement des données personnelles peut engendrer un risque élevé sur la vie privée des personnes concernées.
L’autorité de contrôle chef de file
En cas de traitement transfrontalier des données à caractère personnel, l’autorité de contrôle chef de file est la seule interlocutrice du responsable du traitement ou du sous-traitant. Cette autorité permet d’avoir un guichet unique pour plus de clarté et de simplicité dans le traitement transfrontalier des données.
Le registre des traitements
Ce registre a pour finalité de recenser l’ensemble des données personnelles en la possession de l’entreprise. Il est OBLIGATOIRE mais son contenu varie en raison du nombre de salariés (supérieur ou inférieur à 250).
Les sanctions
La CNIL, en charge du contrôle de la bonne application du RGPD, sera en droit de prononcer des rappels à l’ordre ou des sanctions administratives.
Les amendes administratives devraient être les plus dissuasives puisqu’en raison de la catégorie d’infraction, pourront être prononcées des amendes de :
* 10 millions d’euros ou 2% du CA annuel mondial (le montant le plus élevé devant être retenu).
* 20 millions d’euros ou 4% du CA annuel mondial (le montant le plus élevé devant être retenu).
Protégez vos données sensibles et maîtrisez les enjeux, sanctions et obligations liées au RGPD pour une conformité à 100%.
