Qu’est-ce que le RGPD ? Definition simple
Le RGPD (Reglement General sur la Protection des Donnees) est le texte europeen de reference en matiere de protection des donnees personnelles. Entre en application le 25 mai 2018, il harmonise les regles applicables dans l’ensemble de l’Union europeenne et renforce les droits des personnes sur leurs donnees.
Une donnee personnelle est toute information se rapportant a une personne physique identifiee ou identifiable. Le nom, l’adresse email, le numero de telephone, l’adresse IP ou encore les donnees de localisation sont des exemples de donnees personnelles.
Le RGPD s’applique a toute organisation, publique ou privee, qui traite des donnees personnelles de residents europeens, quelle que soit sa taille ou son secteur d’activite. Il concerne aussi les organisations situees hors de l’UE des lors qu’elles ciblent des residents europeens.
Decouvrir DPO France
Les grands principes du RGPD
La liceite du traitement
Tout traitement de donnees personnelles doit reposer sur une base legale. Le RGPD en definit six : le consentement de la personne, l’execution d’un contrat, le respect d’une obligation legale, la sauvegarde des interets vitaux, l’execution d’une mission d’interet public et l’interet legitime du responsable de traitement.
La limitation des finalites
Les donnees ne peuvent etre collectees que pour des finalites determinees, explicites et legitimes. Elles ne doivent pas etre traitees ulterieurement de maniere incompatible avec ces finalites initiales.
La minimisation des donnees
Seules les donnees strictement necessaires a la finalite poursuivie doivent etre collectees. Ce principe interdit la collecte excessive ou preventive de donnees personnelles.
L’exactitude des donnees
Les donnees personnelles doivent etre exactes et tenues a jour. Des mesures raisonnables doivent etre prises pour que les donnees inexactes soient rectifiees ou effacees sans delai.
La limitation de la conservation
Les donnees ne doivent pas etre conservees au-dela de la duree necessaire aux finalites pour lesquelles elles sont traitees. L’organisme doit definir des durees de conservation pour chaque categorie de donnees.
La securite des donnees
Le responsable de traitement doit mettre en place des mesures techniques et organisationnelles appropriees pour garantir la securite des donnees. Cela inclut la protection contre le traitement non autorise, la perte ou la destruction accidentelle.
Decouvrir DPO Suite
Les obligations des professionnels
Tenir un registre des traitements
Toute organisation doit documenter l’ensemble de ses traitements de donnees personnelles dans un registre. Ce document recense les finalites, les categories de donnees, les destinataires, les durees de conservation et les mesures de securite pour chaque traitement.
Informer les personnes concernees
Les personnes dont les donnees sont collectees doivent etre informees de maniere claire et transparente. L’information porte notamment sur l’identite du responsable de traitement, les finalites, la base legale, les destinataires, la duree de conservation et les droits dont elles disposent.
Respecter les droits des personnes
Le RGPD confere aux personnes plusieurs droits : droit d’acces, droit de rectification, droit a l’effacement, droit a la limitation du traitement, droit a la portabilite et droit d’opposition. L’organisme doit etre en mesure de repondre a ces demandes dans un delai d’un mois.
Securiser les donnees
L’organisme doit mettre en place des mesures de securite adaptees au niveau de risque. Cela comprend le chiffrement des donnees, la gestion des acces, les sauvegardes regulieres et la sensibilisation des collaborateurs.
Notifier les violations de donnees
En cas de violation de donnees susceptible d’engendrer un risque pour les personnes, l’organisme doit notifier la CNIL dans un delai de 72 heures. Si le risque est eleve, les personnes concernees doivent egalement etre informees.
Realiser des analyses d’impact
Lorsqu’un traitement est susceptible d’engendrer un risque eleve pour les droits et libertes des personnes, une analyse d’impact relative a la protection des donnees (AIPD) doit etre realisee prealablement a sa mise en oeuvre.
Les sanctions en cas de non-conformite
Le RGPD prevoit des sanctions financieres significatives. Les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus eleve etant retenu. En France, la CNIL a deja prononce des amendes de plusieurs millions d’euros a l’encontre d’organisations ne respectant pas le reglement.
Au-dela des sanctions financieres, la non-conformite expose l’organisme a un risque reputationnel important. La publication des decisions de sanction par la CNIL peut affecter durablement la confiance des clients et des partenaires.
Decouvrir Focus RGPD
Comment se mettre en conformite
La premiere etape consiste a dresser un etat des lieux des traitements existants. L’organisme doit identifier toutes les donnees personnelles qu’il collecte, les finalites associees et les flux de donnees.
La deuxieme etape porte sur la designation d’un DPO (Delegue a la Protection des Donnees). Cette designation est obligatoire pour les organismes publics, les organismes realisant un suivi systematique a grande echelle et ceux traitant des donnees sensibles a grande echelle.
La troisieme etape consiste a mettre en place les outils de conformite : registre des traitements, mentions d’information, procedures de gestion des droits, politique de securite et plan de gestion des violations de donnees.
La quatrieme etape est la formation des collaborateurs. La conformite RGPD repose sur l’implication de l’ensemble des equipes, et non sur le seul DPO.
Article redige par Laurent de Cavel, DPO certifie et fondateur de DPO Partage. Accompagnement RGPD sur mesure pour toutes les structures.
