RGPD

01
RGPD

RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES

Qu’est-ce que le RGPD ?

C’est un Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

La loi

Le règlement général sur la protection des données personnelles (RGPD) est le texte européen de référence en matière de protection et de libre circulation des données à caractère personnel. Cette réforme a pour but de s’adapter aux nouvelles réalités du numérique.
Le RGPD, entré en vigueur le 24 mai 2016, est applicable depuis le 25 mai 2018 dans toute l’Union Européenne. En cas de non respect du règlement, des sanctions financières peuvent être infligées, pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel.

Ce qu’elle implique

Ce nouveau règlement européen implique de nommer un Délégué à la protection des données (DPO). Cette nomination est obligatoire pour les autorités ou organismes publics, les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Les missions du DPO

Le DPO prend la suite du CIL (Correspondant Informatique et Libertés) mais ses attributions sont plus larges, et ses missions sont variées :

  • Réaliser l’état des lieux lors de la phase d’audit

  • Assister le responsable de traitement sur l’analyse d’impact sur la protection des données. La réalisation de ces analyses par le DPO permet de déterminer les actions correctrices à mener et d’en vérifier l’exécution. Ces analyses permettent également de construire des traitements de données respectueux de la vie privée et d’assurer la conformité au RGPD. Elle intervient lorsque le traitement des données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Le DPO peut aussi aider le décideur à mettre en place des moyens pour atténuer les risques d’atteinte aux droits de la personne.

  • Concevoir des actions de sensibilisation à la culture Informatique & Libertés au sein de l’organisme.

  • Piloter en continu la conformité et la bonne application du RGPD : il veille au respect du règlement et du droit national en matière de protection des données.

  • Être impliqué dans toutes les problématiques liées à la protection des données à caractère personnel

  • S’informer continuellement sur les nouvelles obligations légales sur la protection des données.

  • Faire le lien entre votre organisme et la CNIL (Commission Nationale de l’Informatique et des Libertés) ou autre en fonction de votre pays  mais aussi entre votre organisme et les personnes dont les données sont collectées.

Le DPO est évidemment soumis à une obligation de confidentialité : toutes les informations restent confidentielles.

La mise en conformité avec le RGPD en 6 étapes

  1. Choisir un DPO : il peut être interne ou externe à votre organisme

  2. Trier les données de votre organisation afin d’identifier les données à caractère personnel

  3. Déterminer les risques éventuels et prioriser les actions à entreprendre

  4. Mesurer les impacts et prévoir un plan de réponse aux risques identifiés

  5. Mettre en place et documenter un système de management de données

  6. Assembler la documentation pour prouver la conformité au RGPD

Quel impact pour les collectivités ?

Pour les collectivités, ce règlement se traduit par une mise en conformité permanente et dynamique. Pour cela, elles doivent s’assurer et démontrer à tout instant qu’elles offrent un niveau de protection optimal des données traitées.

Les collectivités doivent intégrer un nouveau principe de protection des données dès la conception du traitement (Privacy by design). Elles doivent donc tenir compte dès la phase de conception du produit, du service ou du traitement, des bonnes manières en matière de protection des données.

Pour être en capacité de piloter et de démontrer la conformité des actions menées, les collectivités sont amenées à tenir un registre de leurs activités de traitement. Pour les traitements à risques, elles doivent effectuer des analyses d’impact et notifier à la CNIL en France ou à la CNPD au Portugal ou autre en fonction de votre pays et aux personnes concernées les violations de données personnelles.

Obligation de consentement explicite lors de la collecte des données

Le texte du RGPD stipule l’obligation de recueillir le consentement de la personne concernée par les données personnelles soumises au traitement. Ce consentement doit être recueilli avant toute action sur les données. Il consiste en une manifestation de volonté libre, spécifique (limitée en matière de contenu du traitement, éclairée et univoque de la personne concernée. Ce consentement doit être un acte positif clair.

Notification des violations

En cas de violation de données à caractère personnel, le responsable du traitement doit en faire la notification à l’autorité de contrôle de son pays dans un délai maximal de 72 heures.

Dans le cas où cette obligation ne serait pas respectée, une justification argumentée doit être soumise.

Pour contacter notre DPO, vous pouvez lui adresser un email à hello[@]bewow.design en mentionnant « DPO » dans l’objet de votre email.