Avr 17, 2018 in Sécurité IT
Tout ce que vous devez retenir sur le RGPD !

Sujet clé en 2018, le RGPD est une obligation réglementaire applicable dès le 25 mai 2018 pour l’ensemble des secteurs d’activité. Découvrons ensemble les points clés à retenir !

Qu’est-ce que le RGPD ?

Le RGPD (Règlement Général sur la Protection des Données) ou GDPR (General Data Protection Regulation) est une réglementation européenne relative à la protection des données à caractère personnel, qui remplace notamment la directive CE 95/46. Le règlement concerne aussi bien les données informatiques que le format papier.

Applicable à partir du 25 mai 2018, le RGPD concerne l’ensemble des entités basées en Europe (entreprises, organismes, autorités, …) qui traitent des données personnelles, ainsi que les fournisseurs extérieurs qui proposent des services en Europe. Au sein de ces entités, l’ensemble des services traitant des données à caractère personnel sera concerné : service client / vente / marketing, service ressources humaines, service comptabilité, service juridique.

L’objectif du RGPD est de proposer une réglementation unique pour tous les pays membres de l’Union Européenne, garantissant la protection des données à caractère personnel et adaptée à l’évolution des technologies. Ce qui permettra également de renforcer les droits des personnes et de responsabiliser les entités en matière de traitement des données.

Les différents principes du RGPD

Afin d’être conforme au RGPD, il est important d’en connaître les principes clés :

» La logique de responsabilisation : La structure doit prendre toutes les mesures nécessaires pour garantir la conformité de la gestion des données et surtout être capable de le démontrer à tout moment. Pour cela, un registre doit être tenu à jour répertoriant l’ensemble des traitements effectués sur les données.

» La coresponsabilité des sous-traitants : Les sous-traitants doivent s’engager contractuellement à mettre en œuvre les mesures de protection adaptées. Ils auront également comme obligation d’alerter le responsable du traitement en cas de fuite.

» La protection de la vie privée : Le responsable du traitement doit protéger la vie privée dès la conception d’un produit/service et par défaut au plus haut niveau. Pour cela il garantit par exemple qu’il gère exclusivement des informations nécessaires au but poursuivi. Le consentement explicite des personnes concernées par ces données est obligatoire dans certains cas.

» L’analyse de l’impact sur la vie privée : Pour tout traitement susceptible d’engendrer un risque pour les droits et libertés des personnes, une analyse des risques doit être réalisée.

» La désignation d’un DPO : Un DPO (Data Protection Officer ou délégué à la protection des données) doit être désigné pour les autorités et organismes publics, pour les entités dont l’activité de base génère des traitements exigeant une suivi régulier et systématique à grand échelle ainsi que les organisations dont l’activité de base consiste à traiter des données sensibles à grande échelle. Le DPO peut être interne à l’entreprise, mais aussi externalisé.

» Signalement à la CNIL : Pour toute violation de données à caractère personnel risquant d’engendrer un risque pour les droits et libertés d’une personne, un signalement doit être effectué auprès de la CNIL dans les 72h.

» Nouveaux droits des personnes : Dans le cadre du RGPD, les droits déjà existants sont renforcés par de nouveaux droits : droit d’information, droit à l’oubli et à la limitation des traitements ainsi que le droit à la portabilité des données.

Comment être conforme au règlement sur la protection des données ?

Différentes étapes sont à respecter afin que votre structure soit conforme au règlement sur la protection des données à caractère personnel :

» Désigner un référent pour piloter la conformité en matière de protection des données à caractère personnel.
» Cartographie les traitements de données personnelles.
» Renforcer ou bien mettre en place des mécanismes de protection des données personnelles en rapport avec les risques encourus.
» Mettre en conformité l’ensemble des documents : CGV, contrats, cookies…
» Garantir la transparence des traitements et la portabilité des données.
» Communiquer auprès de l’ensemble des acteurs concernés par l’entité afin de les sensibiliser sur le sujet.

Le RGPD rentrera ainsi en vigueur d’ici quelques semaines et permettra notamment d’améliorer les pratiques des entités en termes de gestion des données à caractère personnel tout en améliorant la qualité des données.

Afin de vous accompagner dans cette démarche et vous permettre d’être en conformité, Axess propose une formation spéciale RGPD, allant de la maîtrise des nouveaux enjeux à l’élaboration d’un plan d’action dédié. Plusieurs sessions sont disponibles dès le mois de juin à Lyon, Paris et Rennes : Consultez le planning.

Tags: