Pour en savoir plus sur le RGPD, et connaître vos obligations concernant ce règlement et engager votre réflexion sur ce sujet, voici 10 points clés pour bien démarrer !
#1 Qu’est-ce que le RGPD ?
RGPD signifie Règlement Général sur la Protection des Données, il est également souvent noté GDPR qui est son acronyme anglais pour General Data Protection Regulation. Il entrera en application dans tous les pays de l’Union Européenne le 25 mai 2018.
#2 Qui est concerné ?
Toutes les entreprises qui traitent des données personnelles sont concernées : entreprises privées, organismes publics, associations, entreprises dont le siège est en dehors de l’UE mais opérant dans l’UE et tous les sous-traitants de ces entités.
#3 Pourquoi ce règlement ?
Il a pour but de défendre les droits et libertés fondamentales de toute personne physique, vivant ou travaillant dans l’un des 28 pays de l’Union Européenne, à l’égard du traitement des données à caractère personnel et à leur libre circulation. Une donnée personnelle est une information qui peut être liée, de façon directe ou indirecte, à une personne physique : une adresse mail, l’adresse IP d’un poste utilisé pour naviguer sur Internet, …
#4 Comment ça marche aujourd’hui ?
En France principalement 2 textes régissent le traitement des données personnelles :
- La loi informatique et libertés de 1978, qui a donné naissance à la CNIL pour sa mise en application.
- Une directive européenne en 1995
Les entreprises font une déclaration auprès de la CNIL en remplissant un formulaire, mais dans la très grande majorité des cas ne connaissent pas leurs obligations, à fortiori ne les mettent pas en œuvre. En effet bon nombre de dispositions présentent dans le RGPD existent déjà.
#5 Avec le RGPD, les données à caractère personnel doivent être :
- Collectées pour des finalités déterminées et légitimes : le responsable de traitement doit définir précisément les finalités d’un traitement, et ne collecter que les données qui y contribuent. De plus la personne physique doit donner son consentement à cette collecte de façon claire, explicite, et en toute connaissance de cause.
- Traitées de manière transparente : toute personne dispose d’un droit d’accès à ses données, et peut demander leur correction, voire leur suppression (droit à l’oubli).
- Conservées durant une durée n’excédant pas celle nécessaire aux finalités du traitement : les données devenues obsolètes doivent alors être supprimées ou anonymisées.
- Sécurisées à un niveau approprié : le responsable de traitement, et ses éventuels sous-traitants, doivent mettre en œuvre les mesures de sécurité adéquates afin de prévenir les éventuels incidents de sécurité qui pourraient générer une perte de confidentialité, d’intégrité ou de disponibilité de la donnée personnelle.
#6 Pourquoi un nouveau règlement ?
Plusieurs raisons expliquent cette évolution :
- Harmoniser: le règlement sera applicable le 25 mai 2018 dans tous les pays de l’Union Européenne, et il sera identique partout, à la différence d’une directive européenne qui doit être votée (validée) par chaque état membre, qui peut y apporter les aménagements qu’il souhaite. On n’a donc plus les mêmes règles dans tous les pays.
- Préciser les responsabilités: elles sont clairement établies entre le responsable du traitement et les éventuels sous-traitants.
- Augmenter le périmètre: le règlement concerne des personnes hors UE (si elles y travaillent par exemple), ainsi que les filiales, bureaux, … de groupes internationaux dont le siège est hors UE.
- Avoir un pouvoir dissuasif: le montant des éventuelles sanctions financières a été très fortement revu à la hausse. Infliger une amende de 150.000€, à Facebook est inopérant, voire ridicule.
#7 Quel est le montant des sanctions ?
Le nouveau montant maximal des sanctions est de 20 M€, ou 4% du CA mondial de l’entreprise considéré, et on prend le montant le plus élevé des 2.
#8 Quels sont les grands principes du RGPD ?
- Réaliser et maintenir le registre des traitements, document qui contient la liste de tous les traitements (applications) mis en œuvre dans l’entreprise. On doit y retrouver quelques informations importantes : la finalité du traitement, la localisation des données, les éventuels sous-traitants, la présence de données sensibles ou à risque, la durée de conservation des données, …
- Prendre en compte la sécurité de la donnée personnelle dès le début du projet de mise en œuvre d’un nouveau traitement.
- Nommer un DPO, Délégué à la Protection des Données (obligatoire pour les collectivités publiques) qui sera le point de contact avec la CNIL, et veillera à la conformité des traitements au regard du RGPD.
- Notifier la CNIL de toute violation de données personnelles dans les 72 heures qui suivent la découverte de l’incident.
- Mettre en œuvre les mesures de sécurité, organisationnelles et techniques, qui permettront de garantir le niveau de sécurité des données personnelles.
#9 Que doivent faire les entreprises ?
Elle doivent lancer la démarche de mise en conformité, les premières étapes sont les suivantes :
- Sensibiliser la direction au RGPD, lui présenter les risques et opportunités du projet, et la convaincre du bien-fondé de faire un état des lieux de la sécurité de son Système d’Information
- Faire l’état des lieux de la sécurité du Système d’Information, et initier l’inventaire de vos traitements de données personnelles.
- Bâtir le plan d’actions de mise en conformité.
#10 : Comment se faire accompagner ?
Votre entreprise a besoin d’être accompagnée pour se mettre en conformité ? Mismo vous propose une solution d’accompagnement pour engager votre démarche de protection des données et assurer votre mise en conformité RGPD pour mai 2018.
Si vous souhaitez en savoir plus sur le RGPD et engager une démarche de protection des données pour votre structure, Mismo organise des webinars, inscrivez-vous.