7 janvier 2018
Le texte Européen RGPD impose des OBLIGATIONS aux entreprises et collectivités à compter de Mai 2018.
Qu’impose ce règlement ?
- D’obtenir le consentement (du citoyen pour les collectivités – du client pour les entreprises) relatif à l’enregistrement et au stockage de données personnelles. A noter qu’en donnant son consentement pour l’enregistrement des données, une personne peut cependant s’opposer au « profilage ».
- Le droit d’accès : les clients/citoyens doivent pouvoir avoir accès aux données collectées les concernant, dans un format « lisible ».
- Le droit à l’oubli : c’est l’obligation de suppression des données à caractère personnel concernant un individu qui en ferait la demande.
- La nomination d’un DPD (ou DPO) : Délégué à la Protection des Données ou Data Protection Officer : c’est une personne qui aura pour mission de contrôler, guider et être systématiquement associée aux questions relatives au traitement et à la protection des données à caractère personnel. Pour les organismes publics, la dénomination est OIV : Opérateur d’Importance Vitale.
- L’obligation de notifier une violation des données dans les 72 heures après en avoir eu connaissance. Cette notification est faite à la CNIL d’une part et aux personnes concernées par la violation de ces données d’autre part.
- L’obligation de démontrer la conformité de l’établissement aux différentes normes de cette règlementation.
- La suppression des données qui ne répondraient pas/plus à l’objectif initial ayant provoqué l’enregistrement des données.
- L’obligation de la tenue d’un registre (par le DPD) de l’ensemble des traitements effectués sur les données.
- La pseudonymisation et le chiffrement des données.
- De disposer de moyens techniques permettant de rétablir la disponibilité des données en cas de sinistre.
- De tester et analyser régulièrement l’efficacité des mesures assurant la sécurité.
- L’obligation de sécurité : empêcher / minimiser la destruction, l’altération, la perte, la divulgation des données, l’accès aux données, à des personnes non autorisées.
- L’application d’un code de conduite pour démontrer le respect des exigences à la directive.
Où est applicable le RGPD ? Dans tous les états de l’union Européenne.
Quand est-il applicable ? Au plus tard le 25 Mai 2018.
Qui est concerné ? Les collectivités et les entreprises qui collectent / détiennent des données personnelles de ressortissants de l’Union Européenne. Certaines dispositions exemptent du cadre de ce règlement « les autorités compétentes à des fins de prévention et détection des infractions pénales, d’enquêtes et de poursuites en matière de sécurité publique et de prévention des menaces ».
Les contraintes pour non respect de la directive : si un responsable du traitement (ou un sous traitant) viole délibérément ou par négligence une ou plusieurs dispositions du règlement, le montant des amendes administratives est fixé : à 4% du chiffre d’affaires annuel ( C.A mondial s’il s’agit d’un établissement ayant des filiales dans plusieurs pays), ou à 20 000 000 Euros. A chaque fois, c’est le montant le plus élevé qui sera retenu.
Définition des termes employés:
RGPD : C’est l’abréviation de Règlementation Générale pour la Protection des Données. En anglais, le terme abrégé est GPRD (General Data Protection Regulation). Il s’agit d’un règlement de l’UE (2016/679) du Parlement européen, en date 26 avril 2016, dont le thème est relatif à la protection des personnes physiques concernant les traitements de données à caractère personnel, ainsi qu’à la (libre) circulation de ces données. L’entrée en vigueur de cette règlementation est prévue au 25/05/2018
Consentement : C’est l’obtention de l’accord de la personne concernée pour la collecte / l’enregistrement des données personnelles. La personne concernée doit accepter par un acte positif clair, que les données à caractère personnel la concernant soient l’objet d’un traitement.
NB : Il est considéré qu’il n’y a pas de consentement en l’absence d’écrit, en cas de silence ou de cases cochées par défaut.
Données personnelles : Il s’agit de données permettant d’identifier une personne , tel qu’un nom, une adresse, un identifiant en ligne ou des éléments spécifiques propres à son identité physique, économique, sociale, culturelle.
DPD : Délégué à la Protection des Données : c’est le responsable du traitement des données et de la finalité du traitement. Il est nommé au sein de l’entreprise ou de la collectivité. C’est aussi le correspondant avec les autorités de contrôle et le responsable du « devoir d’information » en cas de violation des données.
Profilage : Traitement automatisé de données à caractère personnel d’une personne dans le but d’évaluer, de classifier, d’analyser les intérêts, de prédire les intérêts, de codifier / classifier un comportement, ou d’autres éléments personnels. (défini à l’Article 4/4 du règlement)
Pseudonymisation : Il s’agit de traitement de données à caractère personnel fait de manière à ce que le traitement réalisé ne puisse pas permettre d’identifier une personne précise, sans avoir recours à des informations supplémentaires.