RGPD : tout comprendre sur le nouveau règlement

En vigueur au 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD en français et GDPR, General Data Protection Regulation en anglais) vise à renforcer le contrôle sur le traitement des données personnelles.

Quels sont ses objectifs ?

Loi icônes créées par Icon Pond - Flaticon

Renforcer les droits des individus, le contrôle et la protection de leurs données.

Le RGPD a été mis en place pour faire en sorte que chaque personne retrouve la pleine propriété de ses données personnelles et pour donner plus de visibilité grâce à une traçabilité de celles-ci.
Il permet également de protéger les citoyens européens contre une utilisation frauduleuse de leurs données à caractère personnel.

L'europe  icônes créées par Roundicons - Flaticon

Instaurer une harmonisation européenne.

L’Union Européenne, en mettant en place le RGPD, a souhaité normaliser et harmoniser les différentes lois qui cohabitaient dans les pays européens. Les disparités étant trop importantes entre les États membres, il s’avérait difficile de garantir aux citoyens une protection optimale de leurs données à caractère personnel.

Qui est concerné par le RGPD ?

Ce nouveau règlement, qui élargit le champ d’application de la loi sur la protection des données, s’applique à l’ensemble des entreprises B2B et B2C et organisations, qu’elles soient membres ou non de l’Union Européenne. Le principe étant que toute structure collectant ou traitant des données sur des résidents de l’UE, se doit d’être conforme au RGPD.

Quel impact pour le traitement de vos données ?

Icônes conçues par Pixel perfect from www.flaticon.com'

RESPONSABILITÉ ÉTENDUE

Alors que jusqu’à aujourd’hui la responsabilité du traitement des données incombait uniquement au responsable de traitement, avec le nouveau règlement, tous les acteurs intervenant dans le traitement des données personnelles sont responsables de la conformité avec le RGPD.

Si vous faites appel à un sous-traitant, il est important de veiller à ce que celui-ci soit en mesure de protéger les données que vous lui transmettrez. Il doit présenter toutes les garanties nécessaires à la confidentialité et sécurisation des données.

Consentement icônes créées par Freepik - Flaticon

PREUVE DU CONSENTEMENT

Chaque individu devra donner un accord explicite préalable à l’utilisation de ses données.

Qu’est-ce que cela implique ?

  • Il faut obtenir une acceptation claire via un formulaire d’opt-in et dans l’idéal de double opt-in.
  • Chaque individu doit pouvoir activer en totalité ou de manière partielle la récolte de ses cookies.
  • Les personnes concernées doivent être informées sur l’utilisation de leurs données : nature des données collectées, finalité de traitement, durée de conservation, destinataires des données, etc.

La CNIL impose également la tenue d’un registre afin de cartographier les données personnelles. Celles-ci devront, à tout moment, pouvoir être identifiées et localisées.

r

OBLIGATION DE TRANSPARENCE ET DROIT À L’EFFACEMENT

Elle suppose que toute information relative au traitement des données d’une personne soit facilement accessible, compréhensible et modifiable.
La durée de conservation des données devra par exemple être clairement communiquée et respectée. Chaque individu possède le droit de demander la suppression de toutes ses données personnelles.

Comment l’appliquer ?
Chaque entité, en tant que responsable de traitement, devra s’assurer que tout son processus de collecte et de traitement de données respecte le RGPD : collecte de cookies, formulaires d’inscription (ex : mentions claires, cases à cocher non pré-cochées), actions de fidélisation, offres promotionnelles, transmission d’un fichier client à un partenaire, etc.

</p>
<div> Icons made by <a href="https://www.freepik.com" title="Freepik"> Freepik </a> from <a href="https://www.flaticon.com/" title="Flaticon">www.flaticon.com'</a></div>
<p>

NOMINATION OBLIGATOIRE D’UN DÉLÉGUÉ À LA PROTECTION DES DONNÉES

Ce délégué, appelé aussi DPO (Data Protection Officer en anglais), est le point de contact avec les autorités et le garant de la mise en conformité avec le RGPD. Il est également l’interlocuteur des personnes souhaitant exercer leurs droits et doit veiller à tenir informé le responsable de traitement ou le sous-traitant.

Le DPO doit disposer de compétences spécifiques, notamment de connaissances précises en droit et sur les pratiques en matière de protection des données.
De par les enjeux et les compétences requises, le choix de sa nomination peut s’avérer complexe, entre externalisation et désignation interne.

</p>
<div> Icons made by <a href="https://www.flaticon.com/authors/iconpro86" title="Iconpro86"> Iconpro86 </a> from <a href="https://www.flaticon.com/" title="Flaticon">www.flaticon.com'</a></div>
<p>

SENSIBILISATION DU PERSONNEL

Chaque collaborateur, susceptible de traiter des données, doit être informé des bonnes pratiques et sanctions encourues en cas de non-respect de la loi. Les enjeux de sécurité et de confidentialité des données doivent être abordés au travers de formations, notes de services, livres blancs et autres communications internes à l’entreprise.

Comment vous préparer ?

Dans un document officiel, la CNIL recense les 6 étapes à mettre en place pour assurer votre mise en conformité avec le RGPD.

</p>
<div> Icons made by <a href="https://www.flaticon.com/authors/hight-quality-icons" title="Hight Quality Icons"> Hight Quality Icons </a> from <a href="https://www.flaticon.com/" title="Flaticon">www.flaticon.com'</a></div>
<p>

ÉTAPE 1: DÉSIGNER UN PILOTE

<a href="https://www.flaticon.com/free-icons/2" title="2 icons">2 icons created by Freepik - Flaticon</a>

ÉTAPE 2 : CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES

</p>
<div> Icons made by <a href="https://www.flaticon.com/authors/hight-quality-icons" title="Hight Quality Icons"> Hight Quality Icons </a> from <a href="https://www.flaticon.com/" title="Flaticon">www.flaticon.com'</a></div>
<p>

ÉTAPE 3 : PRIORISER LES ACTIONS

</p>
<div> Icons made by <a href="https://www.flaticon.com/authors/hight-quality-icons" title="Hight Quality Icons"> Hight Quality Icons </a> from <a href="https://www.flaticon.com/" title="Flaticon">www.flaticon.com'</a></div>
<p>

ÉTAPE 4: GÉRER LES RISQUES

</p>
<div> Icons made by <a href="https://www.flaticon.com/authors/hight-quality-icons" title="Hight Quality Icons"> Hight Quality Icons </a> from <a href="https://www.flaticon.com/" title="Flaticon">www.flaticon.com'</a></div>
<p>

ÉTAPE 5 : ORGANISER LES PROCESSUS INTERNES

</p>
<div> Icons made by <a href="https://www.flaticon.com/authors/hight-quality-icons" title="Hight Quality Icons"> Hight Quality Icons </a> from <a href="https://www.flaticon.com/" title="Flaticon">www.flaticon.com'</a></div>
<p>

ÉTAPE 6 : DOCUMENTER LA CONFORMITÉ

Voici un autre document très bien fait par la CNIL, pour ceux qui souhaitent sécuriser leurs données pour le RGPD. Et pour ceux qui ont le courage de lire le texte intégral du règlement général sur la protection des données (RGPD), c’est par ici.

Et si vous ne respectez pas le RGPD ?

Sachez que les entreprises ne respectant pas le RGPD pourront être redevables d’une amende allant jusqu’à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros. Autant dire qu’elle peut se révéler bien plus coûteuse qu’une mise en conformité.

Soyez RGPD compliant !