La loi RGPD a pour objectif de renforcer la protection des données personnelles des citoyens européens. Sa mise en application est effective depuis le 25 mai 2018
La loi RGPD vise à harmoniser les législations européennes autour de la protection des données en tenant compte des évolutions technologiques. Le citoyen européen est au cœur de ce dispositif légal et voit ainsi ses droits renforcés.
Il devient obligatoire pour vous d’assurer la sécurité informatique de vos systèmes d’informations afin de protéger l’intégrité des données personnelles de vos clients, fournisseurs, salariés, adhérents et sous-traitants.
Selon la Commission Nationale de l’Informatique et des Libertés (CNIL), toute information identifiant directement ou indirectement une personne physique est considérée comme étant une donnée personnelle.
Liste d’exemples non exhaustive : nom, numéro d’immatriculation, adresse e-mail, RIB, numéro de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale, etc.
Droit de rectification : rectifiez des informations inexactes vous concernant pour éviter qu’un organisme ne traite ou ne diffuse de fausses informations sur vous.
Droit à l’oubli : obtenez l’effacement de données à caractère personnel. Le responsable du traitement se doit de les supprimer dans les meilleurs délais. Un système d’anonymisation ou de pseudonimisation peut être mis en place.
Droit à la portabilité : récupérez une partie de vos données dans un format ouvert et lisible par machines. Stockez-les ou transmettez-les facilement d’un système d’information à un autre, en vue de leur réutilisation à des fins personnelles.
Ce règlement européen accroît les devoirs et responsabilités de toute la chaîne d’acteurs professionnels qui traitent des données à caractère personnel, que ces dernières soient en ligne ou hors ligne, ou qu’elles fassent l’objet d’un traitement automatisé ou manuel.
Qui peuvent être ces acteurs ?
6 étapes clés pour préparer au mieux votre entreprise au RGPD.
Désigner un pilote (Délégué à la Protection des Données – DPO) qui exercera une mission d’information, de conseil et de contrôle en interne.
Recenser de façon détaillée vos traitements de données personnelles.
Prioriser les actions à mener en fonction des risques générés par vos traitements de données sur les droits et libertés des personnes afin de vous conformer aux obligations du RGPD.
Réaliser une analyse d’impact sur la protection des données pour les traitements des données personnelles susceptibles d’engendrer des risques.
Mettre en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement.
Exemples : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire.
Constituer et regrouper la documentation nécessaire pour prouver votre conformité (registres, analyses d’impact, recueils, contrats, preuves de consentement, etc.).
Pour vérifier le respect du RGPD, la CNIL peut à tout moment contrôler les fichiers détenant des données à caractère personnel.
Ce contrôle peut s’exercer de 4 manières :
En cas de non-respect des mesures, les autorités de protection pourront, selon le contexte, décider de :
IMPORTANT : si vous ne pouvez démontrer la protection optimale des données que vous possédez, vous pouvez être sanctionné bien qu’il n’y ait pas eu violation des données.
Commission Nationale de l’Informatique et des Libertés (CNIL) : Texte officiel du Règlement Général sur la Protection des Données
Commission Nationale de l’Informatique et des Libertés (CNIL) : FAQ
Partenariat entre la CNIL et le youtubeur Cookie Connecté : Sur cette vidéo, ils répondent à vos questions sur l’arrivée du RGPD !
Sur le blog EBP : Comment décrypter simplement le RGPD ?