Passées À venir

Le règlement général sur la protection des données personnelles : en quoi ça consiste ?

Adopté le 14 avril 2016 par l’Union européenne, le Règlement Général sur la Protection des Données (RGPD) sera obligatoire pour les entreprises exploitant les données personnelles des Européens à partir du 25 mai 2018. Informez-vous pour préparer votre structure à être conforme à ce nouveau règlement et sur les sanctions applicables en cas de non-respect de ce texte.

Dès le 25 mai 2018, le règlement général européen de la protection des données personnelles (RGPD) devra être mis en place au sein de nombreuses structures (entreprises, associations, organismes...). Une donnée personnelle est une information relative à une personne physique permettant de l’identifier (nom, prénom, coordonnées, numéro de carte bancaire, données de géolocalisation…). Le GDPR (General Data Protection Regulation) ou RGPD en français est un document qui regroupe un ensemble de critères à respecter pour pouvoir exploiter légalement les données des personnes physiques et en assurer leur protection. De quoi s’agit-il concrètement ? Qui est vraiment concerné par ce règlement ? Comment se préparer pour être conforme ?

Le règlement général sur la protection des données personnelles : en quoi ça consiste ?



Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données est un texte relatif à la protection des données personnelles des personnes vivant au sein des pays membres de l’Union européenne. Ce document vise à protéger et à préserver les individus d’une exploitation illégale ou non consentie de leurs données personnelles.

Ce nouveau règlement vise trois objectifs principaux.

En effet, l’entreprise doit être transparente concernant l’exploitation des données personnelles qu’elle a recueillies. Elle doit également sensibiliser tous ses salariés à ce règlement. Enfin, le RGPD doit s’appuyer sur une coopération entre les salariés et les différents membres des autorités de protection, afin de pouvoir prendre des décisions en commun et éventuellement sanctionner en cas de non-respect du document.

Le RGPD a été adopté le 14 avril 2016 par l’Union européenne et sera obligatoire en France à partir du 25 mai 2018.

Les structures concernées par cette règlementation

Qu’il s’agisse d’une entreprise, d’une association, d’un organisme public, ou encore d’un sous-traitant, tous les organismes ayant un système basé sur l’exploitation des données sont concernés. La taille de l’entreprise importe peu puisque cette règlementation s’applique aussi bien aux multinationales qu’aux TPE ou PME.

Toutes les entreprises en dehors de l’UE qui exploitent des données de citoyens de l’Union européenne sont également concernées.

Seules les entreprises qui n’exploitent aucune donnée concernant les ressortissants de l’Union européenne ne sont pas visées par ce texte.

Se préparer pour être conforme

Selon la CNIL (Commission nationale de l’informatique et des libertés), l’entreprise devra « assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité ».

L’entreprise devra par exemple établir une documentation précise concernant le traitement des données personnelles. Ce document devra répertorier l’ensemble des traitements effectués sur les données personnelles et les différents acteurs exploitant ces données.

La structure doit mettre en place plusieurs procédés.

Rédiger un document de conformité RGPD

Pour prouver que l’entreprise est conforme au RGPD et permettre une vue d’ensemble sur le traitement des données personnelles, l’entreprise est tenue d’établir une documentation précise sur les actions menées.

Ce document devra réunir plusieurs éléments :

  • un registre sur le traitement des données personnelles (registre de traitement, PIA, transfert des données hors UE)
  • un document sur les informations des individus (mentions informatives, consentements, droits exercés)
  • un document sur les différents contrats de l’entreprise (contrats avec les sous-traitants, preuve des consentements, procédures mises en place lorsque les données sont violées).

Désigner un délégué pour la protection des données personnelles

Les organismes publics qui réalisent un suivi quotidien de données à grande échelle ou qui traitent des données sensibles liées à des sanctions pénales sont dans l’obligation de désigner un délégué à la protection des données.

Pour les autres structures (entreprise, association...), il est fortement conseillé de désigner un individu pour s’assurer de la conformité à cette règlementation.

Le rôle du délégué est d’informer, de conseiller et de contrôler que cette règlementation est appliquée au sein de la structure. Il va également servir de lien entre la structure et les autorités de contrôle.

Constituer un ensemble de procédures internes pour garantir la protection des données

Pour assurer la sécurité des données personnelles, il est nécessaire de mettre en place des procédures en interne. L’entreprise devra mettre en place cette nouvelle règlementation dès lors qu’elle crée une nouvelle application mobile ou un site web par exemple. C’est également le cas si elle met en place un nouveau traitement des données personnelles.

De là, elle devra sensibiliser et former le reste de l’équipe sur les nouvelles procédures mises en place pour assurer la protection des données collectées.

Ces procédures comprennent également le traitement des réclamations des utilisateurs sollicitant la structure concernant une atteinte à leurs données personnelles.

Pour assurer la protection de ces données, l’entreprise devra également appréhender les transgressions liées à ces données (piratage informatique par exemple), puis prévenir les autorités compétentes et les victimes.

Identifier et classer les actions à mener

Pour chacun des traitements réalisés sur les données personnelles, il faudra identifier les actions à mener. Celles-ci devront être classées selon les risques encourus pour la liberté et les droits des personnes ciblées.

  • Collecter des données personnelles pour répondre à un objectif précis
  • Déterminer le support juridique sur lequel se reposer pour les traitements des données personnelles
  • Modifier les mentions informatives pour être en conformité avec le RGPD
  • S’assurer que les prestataires soient informés sur les nouvelles règlementations
  • Mettre en place les modalités liées aux droits des personnes sur les données personnelles
  • Contrôler la sécurité des procédures et des outils de traitement des données

Déterminer et gérer les risques

Si le traitement des données personnelles entraine des risques sur les droits et la liberté des personnes dont les informations personnelles ont été collectées, une analyse d’impact doit être effectuée.

L’analyse d’impact aussi appelé PIA (Privacy Impact Assessment) est un outil qui permet de mesurer l’impact de l’utilisation des données sur la vie privée des personnes concernées. Cet outil repose sur deux axes : le respect des principes et des droits fondamentaux ainsi que sur la gestion des risques des données sur la vie privée pour protéger les données personnelles.

Cette analyse contient plusieurs éléments : un descriptif des différents traitements des données personnelles, l’objectif du traitement, un diagnostic des traitements, une évaluation des risques liée aux droits et à la liberté des individus dont les données sont exploitées, et les mesures pour faire face aux risques.



Quelles sont les sanctions en cas de non-respect de la règlementation RGPD

Les entreprises ont jusqu’au 25 mai 2018 pour appliquer cette nouvelle règlementation RGPD. La CNIL informe que les sanctions seront « très encadrées, graduées puis renforcées par les autorités de protection ».

Dans le cas ou une entreprise n’applique par le RGPD, l’autorité compétente délivrera un avertissement. Si cela n’est pas suffisant, elle pourra adresser à la structure une mise en demeure dont le but est de se mettre en conformité à la règlementation RGPD. L’interruption des flux de données (en dehors de l’Union européenne) et la limitation temporaire ou définitive des traitements des données peuvent aussi être imposées.

La structure encourt une amende de 10 millions d’euros ou une amende de 2 % de son chiffre d’affaires mondial si elle ne respecte pas les éléments suivants :

  • le respect du document de conformité
  • la réalisation d’une analyse d’impact
  • l’annonce réalisée à la suite d’une faille ou d’un problème de sécurité

D’autre part, l’entreprise peut être soumise à une peine de 20 millions d’euros ou une amende à hauteur de 4 % de son chiffre d’affaires mondial si elle se retrouve dans une des situations suivantes :

  • non-respect des consentements et non-respect des personnes
  • traitement des données personnelles de façon illégale
  • transferts « transfrontaliers » non encadrés des données personnelles
  • refus de se soumettre aux injonctions de la CNIL