A la une

RGPD
Règlement Général sur la Protection des Données – Fiche pratique
 

Le Règlement Général sur la Protection des Données est un texte de loi à l’échelle Européenne ayant pour vocation de protéger la vie privée des citoyens européens face aux nouvelles réalités du numérique. Adopté par le Parlement Européen en début d’année 2016, il entrera en application le 25 mai 2018.

Ce règlement entend encadrer le traitement de données personnelles afin de s’assurer notamment que celles-ci sont traitées de manière licite, loyale et transparente au regard de la personne concernée. Vous trouverez ci-après une présentation générale du RGPD. Nous reviendrons prochainement sur les déclinaisons pratiques concernant notamment les entreprises.

 

Quels sont les acteurs concernés ?



  • Les acteurs concernés sont l’Etat, les collectivités, les associations et les entreprises qui traitent les données personnelles des ressortissants européens. Le RGPD s’applique aussi bien aux multinationales qu’aux PME, il concerne tous les secteurs d’activités.


Quels sont les objectifs visés ?



  • Le RGPD vient harmoniser les pratiques en termes de protection des données à l’échelle européenne par application directe du règlement à l’ensemble des états.

  • Il vient renforcer les règles existantes en matière de collecte et de traitement des données à caractère personnel pour garantir les droits des citoyens, notamment face à l’émergence de nouvelles technologies

  • Les sanctions prévues ont été alourdies afin de sensibiliser les acteurs à la protection des données.


Quels sont les différents types de données ?



  • Est considérée comme personnelle toute donnée qui permet d’identifier directement ou indirectement une personne. Ces données peuvent être de nature diverse : nom, prénom, adresse e-mail, numéro de téléphone, adresse IP, etc.

  • Certaines données sont perçues comme étant « très » personnelles. Il s’agit par exemple des informations bancaires ou de la géolocalisation. Si elles sont plus sensibles que d’autres données personnelles, elles ne sont pas catégorisées comme telles par le RGPD.

  • Les données sensibles, au sens de la loi, sont des données pour lesquelles une attention particulière doit être portée. Il faudra notamment réaliser une analyse d’impact sur la vie privée et obtenir un consentement explicite des personnes concernées. Il s’agit de :

    • Données de santé, données biométriques et génétiques

    • Opinions politiques, religieuses ou philosophiques, appartenance syndicale

    • Origine « raciale » ou « ethnique »

    • Orientation et vie sexuelle




Quelles sont les sanctions en cas de non-respect du RGPD ?



  • Les autorités de contrôle peuvent prononcer des sanctions administratives telles que :

    • L’avertissement et la mise en demeure

    • La limitation définitive ou temporaire de traitement

    • La suspension des flux de données

    • L’ordre de satisfaire aux demandes d’exercice des droits des personnes

    • Le retrait de certification



  • Les autorités de contrôle peuvent également prononcer une amende. Celle-ci peut atteindre 20 millions d’euros ou 4% du chiffre d’affaires lorsqu’il s’agit d’une entreprise, le montant le plus élevé des deux étant retenu.


 

Comment se mettre en conformité ?

 

Définir une politique et des procédures de protection des données



  • Nommer un Data Privacy Officer (DPO) en charge de la définition de la politique de protection des données ainsi que du pilotage de projets en interne. Le DPO dispose d’un rôle clé puisqu’il fait le lien entre les métiers et les autres services de l’entreprise.

  • Documenter un registre des traitements, permettant de décliner l’ensemble des traitements de données personnelles opérées au sein de votre entreprise. Exigé par le régulateur, ce document constitue, avec la politique de protection des données, la clé de lecture de l’ensemble du dispositif de protection des données.


Evaluer et améliorer les processus existants



  • Mettre en place des procédures sur la collecte, le traitement, le stockage et le transfert de données afin de s’assurer de la conformité vis-à-vis de la réglementation (durée de conservation, anonymisation, consentement, autorisation auprès de l’autorité de tutelle, …).

  • Assurer une procédure d’évaluation des impacts en matière de protection des données pour toute création de produits ou lancement de projets internes.

  • Améliorer le processus de suppression des données personnelles et anticiper les changements dans les systèmes d’information.


Sensibiliser les collaborateurs à la protection des données



  • Intégrer la protection des données dans la formation continue de l’ensemble des collaborateurs

  • Communiquer régulièrement avec le management sur le suivi des risques de protection des données et élaborer un rapport annuel donnant une opinion sur l’efficacité du dispositif en place.


 

A LA UNE

Le F4A : une unité commerciale modèle

Un bâtiment de vente conçu par le prestigieux cabinet d’architecte Jean-Michel Willmotte est sorti de terre au courant de l’été en bordure du rond-point des Halles, l’un des principaux nœuds de circul...