Comprendre les fondamentaux du RGPD

Le RGPD est entré en vigueur le 25 mai 2018. Avec lui, le renforcement d’anciennes notions et la création de nouvelles ont éclos et parfois bouleversé le monde du numérique. Zoom sur ces notions et sur les tenants et aboutissants de ce règlement devenu la bête noire des géants du digital.

0

RGPD : ces quatre lettres n’ont échappé à aucune entreprise. Pourtant, ses réalités peuvent être difficiles à appréhender.

En effet, qui est réellement concerné ? Comment l’appliquer ? Quelles sont les nouvelles obligations ? Autant de questions fondamentales dont les réponses sont encore bien trop souvent floues.

Lumière sur cette nouvelle vague de la protection des données.

Pourquoi le RGPD ?
A quoi s’applique le RGPD ?
Qui doit mettre en place le RGPD ?
Les fondamentaux du RGPD
Les droits des personnes
La gestion interne et le RGPD (DPO, PIA, autorité chef de file…)
Les sanctions

La protection des données personnelles avant mai 2018

Non, il n’a pas fallu attendre le 25 mai 2018 pour que les personnes physiques soient protégées…

 

 

drapeau français

 

 

 

 

 

drapeau européen rgpd

 

Les Français étaient jusqu’au 25 mai 2018 protégés par une loi Française du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – modifiée par une loi du 6 août 2004relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.
Si cette loi prévoyait déjà certaines des lignes directrices que l’on retrouve dans le RGPD, avec lui elles sont renforcées (loyauté, licéité, consentement…) et de nouvelles sont créées (transparence, nouvelles amendes, …)

La Directive 1995/46/CErelative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Directive 2002/58/CErelative au traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

 

Règlement 2016/679 (RGPD)relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (abrogeant la directive 1995/46/CE et demandant la réexamination de la directive 2002/58/CE afin d’assurer la cohérence avec le domaine particulier qu’elle régule). Mise en conformité du droit interne par l’adoption du projet de loi sur la protection des données personnelles le jeudi 19 avril 2018.

 

 

Pourquoi le RGPD ?

Une actualisation

actualisation RGPD

Car, si les Français n’étaient pas sans protection, le cadre juridique n’était pas franchement nouveau. Le monde du numérique évoluant quotidiennement à une vitesse sans précédent, il était grand temps de dépoussiérer ces anciens textes.

Le RGPD l’a fait !

 

Une protection étendue

entreprises rgpd

Au-delà de s’appliquer aux entreprises situées sur le territoire de l’union, il peut s’appliquer à des entreprises qui ne sont pas situées sur le territoire Européen ou encore aux entreprises Européennes qui traitent des données à l’extérieur du territoire de l’Union.

Une protection renforcée

protection renforcée rgpd

La protection des droits et libertés fondamentaux des personnes est un objectif clairement mis en avant par le RGPD. La volonté de l’Europe a été de protéger ces dernières en redonnant du pouvoir à leur choix concernant leurs données.

 

 

Une harmonisation

harmonisation rgpd

La forme réglementaire choisie par l’Union pour le RGPD n’est pas anodine. Par ce format, l’Union montre sa volonté d’impacter profondément les Etats-membres afin d’obtenir une unification plus importante des législations. Grâce à ce format, la protection est plus efficace et efficiente. L’Union a voulu en finir avec les disparités créées par la directive 95/46/CE.

A quoi s’applique le RGPD ?

Le règlement Européen sur la protection des données s’applique aux données à caractère personnel automatisées ou non. Il vise la protection de ces données dans leur traitement et dans leur circulation.

 

loupe explication RGPD  Explications

 

Données à caractère personnel

Toute information qui concerne une personne physique (nom, adresse, numéro de téléphone, géolocalisation, adresse mail, préférences…)

Traitement / circulation

Toute action qui va être menée sur une donnée depuis sa collecte jusqu’à sa suppression (téléchargement, transfert, enregistrement…)

 

Attention, les activités strictement personnelles ou domestiques des personnes physiques sont exclues de la protection du RGPD.

Qui doit mettre en place le RGPD ?

Tout type d’organisme, association, groupe d’entreprise, établissement… :

Situé sur le territoire de l’Union
Qui effectue un traitement des données qui n’est pas nécessairement sur le territoire de l’Union (ex : entreprise Française qui traite des données Espagnoles ou Américaines).

En bref et en image :

GDPR inside treatment

 

Non situé sur le territoire de l’Union

Mais qui traite des données de personnes physiques sur le territoire de l’Union dans le cadre :

  • D’une offre de biens ou de service
  • D’un suivi du comportement des particuliers sur internet (comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel).

En bref et en image :

GDPR ouside treatment

Sont exclues :

  • Les entreprises dont l’activité ne relève pas de l’Union Européenne
  • Les autorités publiques dans l’exercice de leurs fonctions officielles.

Les fondamentaux du RGPD 

Un RGPD, un mantra :  seules les informations NÉCESSAIRES doivent / peuvent être collectées. Fini le cumul des données inutiles, il faut se contenter uniquement des données essentielles pour la mise en oeuvre de la mission. 

Lignes conduite RGPD

Une fois que seules les données nécessaires ont été collectées, le règlement Européen donne des principes qui doivent servir de ligne de conduite lors du traitement des données. Ces garde-fous doivent guider toutes vos démarches lors du traitement des données en votre possession.

Ces gardes fous sont les suivants :

 

Loyauté

loyauté RGPD

Licéité

licéité RGPD

Transparence

transparence RGPD

En savoir plus sur les principes fondamentaux du RGPD

Les droits des personnes

Droit à la limitation tgpd

Droit à la limitation / droit d’opposition 

Droit à l'oubli rgpd

Droit à l’oubli

 

Droit à la portabilité rgpd

Droit à la portabilité

Droit à la rectification rgpd

Droit à la rectification

Droit d'accès rgpd

Droit d’accès

Droit à l'information rgpd

Droit à l’information

Grâce à ces droits, la personne physique à la possibilité de limiter ou de s’opposer à la collecte de ses données.

Novateur, ce droit offre la possibilité à toute personne de récupérer ses données sur un format lisible par une machine. Aucun obstacle ne peut être dressé par le responsable des données.
Un transfert direct de professionnel à professionnel peut être demandé par le propriétaire des données (lorsque cela est possible).

Ce droit permet à toute personne de demander au responsable du traitement s’il est en possession de données la concernant et de lui en transmettre le contenu.
Ce droit d’accès va permettre, une fois les informations obtenues d’accéder à d’autres droits :
– Au droit à la rectification
– Au droit à la limitation
– Au droit à l’effacement des données ou « droit à l’oubli »

Il est la possibilité de demander la suppression des données lorsque l’un des cas suivants est rencontré:
– La sauvegarde des données n’est plus nécessaire
– La personne concernée a retiré son consentement
– Le traitement n’est pas légitime / la personne s’y oppose
– Le traitement est illicite
– Une obligation légale l’impose
En conséquence, le responsable du traitement est dans l’obligation de les effacer et ce dans les meilleurs délais.

Ce droit offre la possibilité à la personne physique, en cas d’inexactitude concernant ses données, d’en demander la modification.

Ce droit est celui par lequel la personne morale va porter à la connaissance du consommateurs certaines informations (qui est le responsable de traitement, qui va avoir accès aux données…)
Il est une réponse à la nécessité de transparence.

La gestion interne et le RGPD

Le délégué à la protection des données

DPO rgpd

Le délégué à la Protection des Données – DPD (ou Data Protection Officer DPO) est un chef d’orchestre chargé de la conformité des actions de l’entreprise avec les textes normatifs de protection des données.

Sa nomination n’est obligatoire que dans 3 cas :
–          Organismes publics ou privés mettant en œuvre une mission de service public
–          Les entreprises amenées à faire à grande échelle un suivi régulier et systématique des données personnelles collectées
–          Les entreprises amenées à traiter des catégories particulières d’informations et des condamnations pénales ou infractions
Attention : la formulation étant large la CNIL risque de vouloir sa mise en place dans le plus grand nombre d’entreprises.

L’analyse d’impact

analyse d'impact rgpd

Une analyse d’impact sur la protection des données doit obligatoirement être menée dès lors que votre traitement des données personnelles peut engendrer un risque élevé sur la vie privée des personnes concernées.

L’autorité de contrôle chef de file

autorité de contrôle chef de file rgpd

En cas de traitement transfrontalier des données à caractère personnel, l’autorité de contrôle chef de file est la seule interlocutrice du responsable du traitement ou du sous-traitant. Cette autorité permet d’avoir un guichet unique pour plus de clarté et de simplicité dans le traitement transfrontalier des données.

Le registre des traitements

registre de traitement rgpdCe registre a pour finalité de recenser l’ensemble des données personnelles en la possession de l’entreprise. Il est OBLIGATOIRE mais son contenu varie en raison du nombre de salariés (supérieur ou inférieur à 250).

Les sanctions

 

Pièce euro sanction CNIL

 

Pièce euro sanction CNIL

 

Pièce euro sanction CNIL

La CNIL, en charge du contrôle de la bonne application du RGPD, sera en droit de prononcer des rappels à l’ordre ou des sanctions administratives.

Les amendes administratives devraient être les plus dissuasives puisqu’en raison de la catégorie d’infraction, pourront être prononcées des amendes de :

* 10 millions d’euros ou 2% du CA annuel mondial (le montant le plus élevé devant être retenu).

* 20 millions d’euros ou 4% du CA annuel mondial (le montant le plus élevé devant être retenu).

 

Solutions HTTPCS et le RGPD

 

 

 

More

Comment

Your email address will not be published.