Protection des données : en quoi consiste le RGPD ?
Depuis le 25 mai 2018, le règlement général européen de la protection des données personnelles (RGPD) est entré en vigueur. De quoi s’agit-il concrètement ? Qui est vraiment concerné par ce règlement ? Comment être conforme ? On répond à toutes vos questions.
Qu’est-ce que le RGPD ?
Le règlement général sur la protection des données est un texte relatif à la protection des données personnelles des personnes vivant au sein des pays membres de l’Union européenne. Ce document vise à protéger et à préserver les individus d’une exploitation illégale ou non consentie de leurs données personnelles.
Ce nouveau règlement vise trois objectifs principaux.
En effet, l’entreprise doit être transparente concernant l’exploitation des données personnelles qu’elle a recueillies. Elle doit également sensibiliser tous ses salariés à ce règlement. Enfin, le RGPD doit s’appuyer sur une coopération entre les salariés et les différents membres des autorités de protection, afin de pouvoir prendre des décisions en commun et éventuellement sanctionner en cas de non-respect du document.
Le RGPD a été adopté le 14 avril 2016 par l’Union européenne et est obligatoire en France depuis le 25 mai 2018.
Les structures concernées par cette règlementation
Qu’il s’agisse d’une entreprise, d’une association, d’un organisme public, ou encore d’un sous-traitant, tous les organismes ayant un système basé sur l’exploitation des données sont concernés. La taille de l’entreprise importe peu puisque cette règlementation s’applique aussi bien aux multinationales qu’aux TPE ou PME.
Toutes les entreprises en dehors de l’UE qui exploitent des données de citoyens de l’Union européenne sont également concernées.
Seules les entreprises qui n’exploitent aucune donnée concernant les ressortissants de l’Union européenne ne sont pas visées par ce texte.
Comment être conforme ?
Selon la CNIL (Commission nationale de l’informatique et des libertés), l’entreprise doit « assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité ».
L’entreprise doit par exemple établir une documentation précise concernant le traitement des données personnelles. Ce document doit répertorier l’ensemble des traitements effectués sur les données personnelles et les différents acteurs exploitant ces données.
La structure doit mettre en place plusieurs procédés.
Rédiger un document de conformité RGPD
Pour prouver que l’entreprise est conforme au RGPD et permettre une vue d’ensemble sur le traitement des données personnelles, l’entreprise est tenue d’établir une documentation précise sur les actions menées.
Ce document devra réunir plusieurs éléments :
- un registre sur le traitement des données personnelles (registre de traitement, PIA, transfert des données hors UE) ;
- un document sur les informations des individus (mentions informatives, consentements, droits exercés) ;
- un document sur les différents contrats de l’entreprise (contrats avec les sous-traitants, preuve des consentements, procédures mises en place lorsque les données sont violées).
Désigner un délégué pour la protection des données personnelles
Les organismes publics qui réalisent un suivi quotidien de données à grande échelle ou qui traitent des données sensibles liées à des sanctions pénales sont dans l’obligation de désigner un délégué à la protection des données.
Pour les autres structures (entreprise, association, etc.), il est fortement conseillé de désigner un individu pour s’assurer de la conformité à cette règlementation.
Le rôle du délégué est d’informer, de conseiller et de contrôler que cette règlementation est appliquée au sein de la structure. Il va également servir de lien entre la structure et les autorités de contrôle.
Constituer un ensemble de procédures internes pour garantir la protection des données
Pour assurer la sécurité des données personnelles, il est nécessaire de mettre en place des procédures en interne. L’entreprise devra mettre en place cette nouvelle règlementation dès lors qu’elle crée une nouvelle application mobile ou un site web par exemple. C’est également le cas si elle met en place un nouveau traitement des données personnelles.
De là, elle devra sensibiliser et former le reste de l’équipe sur les nouvelles procédures mises en place pour assurer la protection des données collectées.
Ces procédures comprennent également le traitement des réclamations des utilisateurs sollicitant la structure concernant une atteinte à leurs données personnelles.
Pour assurer la protection de ces données, l’entreprise devra également appréhender les transgressions liées à ces données (piratage informatique par exemple), puis prévenir les autorités compétentes et les victimes.
Identifier et classer les actions à mener
Pour chacun des traitements réalisés sur les données personnelles, il faudra identifier les actions à mener. Celles-ci devront être classées selon les risques encourus pour la liberté et les droits des personnes ciblées.
- Collecter des données personnelles pour répondre à un objectif précis.
- Déterminer le support juridique sur lequel se reposer pour les traitements des données personnelles.
- Modifier les mentions informatives pour être en conformité avec le RGPD.
- S’assurer que les prestataires soient informés sur les nouvelles règlementations.
- Mettre en place les modalités liées aux droits des personnes sur les données personnelles.
- Contrôler la sécurité des procédures et des outils de traitement des données.
Déterminer et gérer les risques
Si le traitement des données personnelles entraine des risques sur les droits et la liberté des personnes dont les informations personnelles ont été collectées, une analyse d’impact doit être effectuée.
L’analyse d’impact aussi appelé PIA (Privacy Impact Assessment) est un outil qui permet de mesurer l’impact de l’utilisation des données sur la vie privée des personnes concernées. Cet outil repose sur deux axes : le respect des principes et des droits fondamentaux ainsi que sur la gestion des risques des données sur la vie privée pour protéger les données personnelles.
Cette analyse contient plusieurs éléments : un descriptif des différents traitements des données personnelles, l’objectif du traitement, un diagnostic des traitements, une évaluation des risques liée aux droits et à la liberté des individus dont les données sont exploitées, et les mesures pour faire face aux risques.
Quelles sont les sanctions en cas de non-respect de la règlementation RGPD ?
Dans le cas où une entreprise n’applique pas le RGPD, la structure encourt une amende pouvant monter jusqu’à 20 millions d’euros ou une amende de 4 % de son chiffre d’affaires mondial.
Par ailleurs, la CNIL peut également prononcer d’autres sanctions : un rappel à l’ordre, une suspension des flux de données ou encore une mise en demeure.