Cadre général du RGPD
Le RGPD c'est quoi ?
C’est un texte européen qui harmonise les règles en matière de protection des données personnellesToute donnée qui identifie directement ou indirectement une personne physique. Cette identification peut s’effectuer à partir d’une seule donnée ou à partir d’un croisement d’un ensemble de données. Ex1 :… dans tous les pays de l’Union Européenne afin de conférer aux citoyens et aux professionnels le même niveau de droits et obligations.
Quels apports majeurs ?
- Il alourdit considérablement les sanctions financières qui passent d’un maximum de 150 k€ à 10 ou 20 millions d’€ ou 2 à 4% du chiffre d’affaires annuel mondial de l’entreprise ou de l’organisation.
- Il consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles (responsable de traitement, sous-traitant...) avec le principe de l'accountability.
- Il prévoit une procédure impérative à suivre en cas de violation de données.
Qui est concerné ?
- Toute entité publique comme privée (Association, Entreprise, Comité Social Economique (CSE), Collectivités territoriales etc...), quelle que soit sa taille ou son activité, située ou non dans l’Union Européenne et qui collecte, utilise, conserve des données identifiant directement ou indirectement des personnes physiques résidant dans l’Union Européenne dans un cadre professionnel. Cette entité est considérée comme étant le Responsable de traitement de ces données personnelles.
- Toute personne physique résidant dans l'Union Européenne.
Quoi faire ?
Le responsable de traitement a l’obligation de :
- Déterminer la base légale des traitements : obligation légale, contrat, intérêt légitime, consentement, sauvegarde des intêrets vitaux, mission d'intérêt public.
- S’assurer de la sécurité et de la confidentialité des données personnelles.
- S’assurer de la proportionnalité et de la pertinence des données personnelles collectées par rapport à la finalité des traitements.
- Respecter les durées de conservation des données personnelles.
- Informer les personnes concernées (clients/prospects, salariés, administrés, adhérents...) de façon claire et compréhensible sur les traitements effectués et sur leurs droits (accès, modification, opposition, suppression, portabilité...).
Comment se mettre en conformité ?
Appliquer les obligations élémentaires applicables à toute entité :
- Tenir un registre des traitements.
- Justifier sa conformité en s’appuyant sur une documentation adaptée (Accountability).
- Tenir une Politique de Sécurité du Système d’Information (PSSI) et un registre des violations de données.
- Mettre en place une procédure de réponse aux demandes d’exercice des droits des personnes.
- Conclure avec les sous-traitants et partenaires des contrats avec des clauses conformes au RGPD.
- Sensibiliser et former les membres de son organisation.
D’autres obligations complémentaires dans certains cas :
- Désigner un délégué à la protection des données (DPOLe Data Protection Officer (ou Délégué à la Protection des Données personnelles en français) est chargé de la conformité en matière de protection des Données personnelles au sein d’une entité…) qui peut être externalisé et mutualisé.
- Effectuer des analyses d'impact (PIAPIA signifie Privacy Impact Assessment / Analyse d’impact (Art. 35 et 36 du RGPD) ce qui correspond à une description détaillée du Traitement de données mis en œuvre tant sur…) qui sont des analyses d’impact pour les traitements à risque.
- Désigner un représentant au sein de l’Union Européenne dans certains cas.
- Désigner un hébergeur de santé certifié dans certains cas.
Depuis quand ?
le 25 mai 2018
Et en France ?
La loi de 1978 dite Informatique et Libertés a été modifiée en juin 2018 pour prendre en compte l’entrée en vigueur du RGPD
Pourquoi se mettre en conformité avec le RGPD ?
Parce que c’est une obligation légale en Europe et en France
Parce que les sanctions en cas de non-conformité sont dissuasives
La CNIL peut intervenir suite à la plainte d’une Personne concernée ou suite à un contrôle :
Des sanctions financières qui varient de 2 à 4% du chiffre d'affaires annuel mondial de l'entreprise ou de l'organisation ou de 10 à 20 millions d'euros selon la gravité de l’infraction.
Des sanctions administratives alternatives ou complémentaires telles que notamment un avertissement avec mise en demeure à l’organisme en vue de le contraindre à se mettre en conformité, une limitation temporaire ou définitive des traitements de données étant précisé que les injonctions peuvent être assorties d’astreinte.
Les tribunaux peuvent être saisis par des plaignants agissant à titre individuel ou collectif dans le cadre d’actions de groupe :
Des sanctions civiles à l’encontre des responsables de traitement ou des sous-traitants pour obtenir la réparation financière des préjudices subis.
Des sanctions pénales à l’encontre des responsables de traitement ou des sous-traitants : Les peines encourues maximales sont de 5 ans et 300 000 € d’amende (les montants sont multipliés par 5 pour les personnes morales).
Parce que d'autres risques sont
à prendre en compte :
Un risque de perte de confiance vis-à-vis de vos partenaires, de vos clients, de vos adhérents ou administrés
Un risque au regard de votre responsabilité
Et surtout un risque réputationnel car souvent les sanctions de la CNIL donnent lieu à une mauvaise presse...