Sa définition :
Il s'agit d'un règlement européen encadrant les données personnelles et utilisées par les entreprises et organismes publics.
Ce dispositif est entré en vigueur dans tous les pays de l'UE le 25 mai 2018. Il s'agit d'une mesure la plus importante des 20 dernières années et elle est imposée à toute entreprise proposant des produits ou services, aux citoyens de l'union européenne.
La finalité de cette protection ?
renforcer la protection des droits et libertés des personnes physiques quant à l'utilisation de leurs données personnelles.
Cette mesure suppose un consentement strict à l'utilisation des données. (décision du CJUE du 01/10/2019).
Elle s'applique tant aux entreprises et organismes utilisateurs (trices) qu'aux tiers.
Process :
1- constitution d'archive des activités de traitement de données et en effectuer le suivi
2- conservation du consentement des personnes
3- désignation d'une personne au sein de l'entreprise chargée d'assurer la gestion de
ces mesures et ainsi être en "règle" avec le RGPD
Les mesures s'appliquent tant aux clients d'une entreprise qu'à ses collaborateurs.
Sur les sites web, aucune case ne doit être pré-cochée! (Décision du CJUE).
Vous l'aurez compris, les droits des individus sont renforcées :
- droit à la portabilité des données ;
- droit d'accès ;
- droit à l'oubli
La législation impose également que soit décrit sur le site, l'étendue et la finalité de l'utilisation des données personnelles dans un langage compréhensible
-Données personnelles : toute information se rapportant à une personne physique ou identifiable Est identifiable une personne qui peut être identifiée directement oui indirectement, par exemple par son nom, son numéro de téléphone -
Et plus concrètement ?
Afin d'être en conformité avec la RGPD et conformément à l'article 30 de ce règlement, il est impératif d'établir un registre sur lequel sera mentionné :
le nom et les coordonnées de la personne responsable du traitement des données
les finalités du traitement
les catégories de personnes concernées
les catégories de données personnelles
les catégories de destinataires auxquels les données à caractère personnel auront accès, notamment les sous-traitants
les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale
les délais de conservation des données
les mesures de sécurité mises en œuvre
Exemple de registre:
En outre, à l'occasion de l'établissement de ce registre, il est conseillé de trier vos données.
- Ne conserver que les données dont vous avez besoin
- Vérifier si vous êtes en possession des données dites "sensible "
- Vérifier que seuls les les personnes habilitées ont accès aux données
- contrôler les délais de conservation et supprimer les données concernées
Tenir régulièrement à jour son registre.
Il est fortement conseillé d'établir 2 registres distincts :
- 1 registre responsable du traitement des données personnelles (où il recense l'ensemble des traitements mis en œuvre par l'entreprise)
- 1 registre du sous traitant (où il recense les catégories d'activités de traitement effectuées pour le compte des clients de l'entreprise)
Le RGPD impose une transparence et une obligation d'informations aux individus quant à l'utilisation de leurs données personnelles. Une notice d'information doit être communiquée. A titre d'exemple, dans le cadre de mon étude de marché, j'ai rédigé une notice d'information jointe au mail d'envoi.
Enfin, les entreprises ou organismes doivent sécuriser ces données. Pour ce faire:
- mettre à jour son antivirus
-s'assurer de la mise en place de mots de passe et si possible complexes pour accéder à ses données
- s'assurer de la sécurité des locaux
-prévoir une sauvegarde des données en cas de problèmes informatiques
Malgré toutes les précautions que nous prenons quant à la sécurisation des données, l'absence de risque n'existe pas.
Si nous nous apercevons d'une violation à l'utilisation de ses données, il est à signaler dans les 72h de la découverte à la CNIL. Comment ? https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
C'est un sujet toujours d'actualité et complexe. Les sanctions pour non respect du RGPD sont importantes : "le montant des sanctions pécuniaires peut s'élever jusqu'à 20 millions d'euros ou dans le cas d'une entreprise jusqu'à 4 % du chiffre d'affaires annuel mondial. Ces sanctions peuvent être rendues publiques." (source : https://www.cnil.fr/fr/definition/sanction).
Pour plus de renseignements le site de la CNIL accompagne dans cette mise en conformité.