Faq

Le RGPD s’applique à toute organisation publique et privée qui traite des données personnelles pour son compte ou le compte de tiers dès lors qu’elle est établie sur le territoire de l’Union Européenne, et que son activité cible directement des résidents européens. Elles concernent également les « sous traitants » qui traitent des données personnelles pour le compte d’un autre organisme privée et publique  « Responsable de Traitement » dans le cadre d’un service ou une prestation.

Un traitement de données personnelles est une opération ou un ensemble d’opération portant sur les données personnelles quelque soit le procédé (informatisé ou papier) : collecte, enregistrement, organisation, enregistrement, consultation, utilisation, communication, diffusion…

Une analyse d’impact sur la protection des données (AIPD) doit être menée quand le traitement est « susceptible d’engendrer un risque élevé pour les doits et libertés des personnes concernées » : Soit le traitement figure dans la liste des types d’opération de traitement (liste non exhaustive) pour lesquelles la CNIL a estimé qu’une AIPD était requise Soit le traitement remplit au moins deux des neuf critères suivants : Évaluation d’aspects personnels ou notation d’une personne Prise de décision automatisée Surveillance systématique de personne (ex vidéosurveillance…) Traitement de données sensibles (santé, biométrie…) Traitement de données concernant des personnes vulnérables (ex mineurs….) Traitement à grande échelle de données personnelles Croisement d’ensemble de données Usage innovants ou application de nouvelles technologies (ex objet connecté…) Exclusion du bénéfice d’un droit, d’un service, d’un contrat (ex liste noire…) Cette analyse d’impact doit être menée avant de collecter et de mettre en œuvre le traitement et sur tout traitement susceptible d’engendrer des risques élevés sur les droits et libertés des personnes physiques . Elle permet de bâtir un traitement de données personnelles respectueux de la vie privée, d’apprécier les impacts sur la vie privée des personnes concernées et de démontrer que les principes fondamentaux du RGPD ont été respectés Elle contient une description du traitement et de ses finalités, une évaluation de la nécessité et de la proportionnalité du traitement, une appréciation des risques sur es doits et libertés des personnes concernées les mesures envisagées pour traiter ces risques et se conformer au règlement.

Le RGPD impose aux entreprises de nommer un  DPO (Délégué à la protection des Données). Il coordonne toutes les questions relatives à la protection des données personnelles et assure le lien avec les autorités européennes et françaises (la Cnil). Il peut être interne ou externe et exerce la fonction de « pilote » du RGPD.

Principe de finalité  / licéité : collecte de données et constitution d’un fichier que dans un objectif, légal et légitime Principe de proportionnalité et pertinence / minimisation des données : données collectées pertinentes et nécessaires au regard de la finalité du fichier Principe de durée de conservation limitée : durée précise de conservation des informations fixée en fonction du type d’information et de la finalité du fichier Principe de sécurité et de confidentialité : sécurité et confidentialité des données personnelles collectées Droit des personnes : transparence / information des personnes, consentement à la collecte, droit d’accès, de rectification, d’objection et de suppression By design / By default : Intégration dès la conception d’une offre de biens ou services des problématiques de protection des données /  par défaut, la plus protectrice possible Responsabilité : le responsable du traitement de données doit pouvoir démontrer le respect du RGPD

Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée » (un nom, prénom…) ou « identifiable » (identifiant, numéro de client, téléphone…), il peut s’agir d’une donnée ou un croisement de données.

Les données dites « sensibles » sont des données révélant l’origine raciale ou ethnique, portant sur des opinions politiques, philosophiques ou religieuses, relatives à l’appartenance syndicale, concernant la santé ou l’orientation sexuelle, génétiques ou biométriques. Les données d’infraction ou de condamnation judicaire doivent être par ailleurs utilisées sous certaines conditions encadrées par la loi informatique et libertés et par le RGPD;

1)DESIGNER UN PILOTE DU RGPD  – DPO 2)MENER UN AUDIT POUR IDENTIFIER LES ÉCARTS CONSTATES PAR RAPPORT AUX EXIGENCES DU RGPD Identification, recensement et cartographie des traitement de données de l’entreprise par service, site, application, extranet, intranet…, par catégorie de données personnelles traitées, par type d’acteurs traitant ces données (internes ou externes), par type d’objectif poursuivi, par destination : UE / hors UE Inventaire des solutions techniques et processus (accès interne ou externe, sauvegarde, conservation, destruction, alertes intrusion…) Analyse des traitements et appréciation de la conformité des ces traitements au RGPD : S’assurer que seules les données nécessaires à la poursuite des objectifs de l’organisation sont collectées et traitées Analyse de la base juridique des traitements et des processus garantissant l’exercice droit des personnes : information, consentement, accès, rectification, effacement, opposition…. Analyse de la base contractuelle avec les sous traitants (obligations du sous traitant en matière de sécurité, confidentialité et protection des données personnelles) Analyse de la sécurité des systèmes d’information en place Risques particuliers (données sensibles, données à grande échelle, transferts de données hors UE…) : évaluation de nécessité de réaliser une AIPD, encadrer les transferts hors UE 3) ORGANISER LES PROCESSUS INTERNES ET DOCUMENTER SA CONFORMITÉ Constituer un registre des traitements, un répertoire des sous traitants, des analyses d’impact si nécessaire, rédiger des clauses contractuelles spécifiques dans le cadre de transfert hors UE Organiser les processus internes qui garantissent la prise en compte de la protection des données à tout moment (information, consentement, effacement…), de traiter les réclamations et demandes de personnes concernées, d’anticiper les violations de données (notification dans les 72h à la cnil et information des personnes concernées) Sécuriser les accès informatiques et les systèmes d’information (authentification des utilisateurs, gestion des habilitations, traçabilité des accès, sécurisation des postes de travail, sécurisation de l’informatique mobile, sécurisation des serveurs, sécurisation du réseau informatique, procédure de sauvegarde, destruction …) Rédiger l’ensemble de la documentation obligatoire : Information des personnes : mentions d’information et procédures pour garantir l’exercice du droit des personnes Clauses de confidentialité pour les acteurs internes, ou externes (clients, sous traitants) Politique de confidentialité du site et politique de cookies du site web

Des sanctions administratives, civiles, pénales La CNIL peut déclencher un contrôle au cours duquel elle dispose de plusieurs pouvoirs contraignants : audit sur pièce et sur place, production de documents, témoignages, etc. Au terme de son enquête, la CNIL a la possibilité de mettre en demeure et d’ordonner à l’organisation de mettre en œuvre certaines mesures de mise en conformité ou d’infliger une sanction pécuniaire. La Cnil a prévu deux niveaux de sanctions : une amende d’un montant de 2% du Chiffre d’affaires mondial ou 10 millions d’euros (ex : absence de tenue d’un registre des traitements ou l’absence d’AIPD) et dans les cas les plus graves une amende d’un montant de 4% du chiffre d’affaires annuel mondial de l’entité ou 20 millions d’euros (ex : défaut de consentement de la personne concernée…), le montant le plus élevé étant retenu. Les sanctions peuvent être également judicaires : civiles, si un particulier s’estime lésé en raison d’une infraction au RGPD, il pourra demander réparation devant les tribunaux pénales en cas d’atteinte aux droits de la personne: jusqu’à 5 ans de de prison et 300 000 euros d’amende (ex : détournement de la finalité des données personnelles lors d’un traitement de données). Le risque est également commercial, l’organisme non conforme pouvant perdre des marchés en raison d’un déficit d’image et de qualité.