le règlement général sur la protection des données

RGPD
Nouvelles obligations

Vos nouvelles obligations depuis le 25 mai 2018

A l’heure, où les cyberattaques sont en très forte augmentation, les objets connectés de plus en plus présent en entreprise, Quelles sont les conséquences et obligations pour les entreprises vis-à-vis du règlement Européen ?

Le RGPD impose depuis le 25 mai 2018, de nouvelles contraintes en matière de traitement de données à caractère personnel. Les entreprises ne respectant pas le RGPD sont passible d’une sanction financière allant jusqu’à 4% du chiffre d’affaires, ou bien 20 millions d’euros.

L’objectif premier du RGPD est d’avoir un cadre unique sur l’ensemble du territoire Européen, concernant la protection de données personnelles, en tenant compte des évolutions technologiques : Cybersécurité, big data, IoT et intelligence artificielle.

Qui est concerné par le RGPD ?

Toutes les entités juridique, publiques ou privées, qui collecte, stock, et utilise des données à caractères personnels de citoyen de l’Union Européenne, et ce, même si l’entreprise se situe en dehors de l’Union Européenne.

Qui est responsable en cas de non-conformité au RGPD ?

Une fuite données avérés, ou une non-conformité au RGPD, peut avoir de nombreux impacts sur les clients, les prestataires et partenaires de l’entreprise, en terme d’image et de notoriété. En cas de non-respect au RGPD, le responsable est le mandataire social de l’entreprise.

Quels sont les droits et obligations ?

Pour être en conformité avec le RGPD, les entreprises devront présenter à l’auto-rité de contrôle plusieurs documentation portant sur :

  • Les procédures internes en cas de violation de données
  • Les contrats avec les sous-traitants
  • Les preuves de consentement, et le modèles
  • Le registre de traitement et les fiches de traitement
  • Les analyses d’impact sur la protection des données (D.P.I.A)
  • Les procédures en cas de transfert de données hors de l’Union Européenne.
  • Les procédures mises en place pour l’exercice des droits des personnes.

Quelles sanctions en cas de non-conformité ?

  • Un avertissement, qui peut être rendu public
  • Une sanction pécuniaire pouvant aller jusqu’à 4% du CA de l’entreprise
  • Une injonction de cesser le traitement
  • Un retrait de l’autorisation accordée par la CNIL
  • En cas d’urgence et d’atteinte aux droits et libertés : interruption de mettre en oeuvre le traitement, l’avertissement, le verrouillage des données pour trois mois
  • En cas d’atteinte grave et immédiate aux droits et libertés : le président de la CNIL peut demander, par référé, à la juridiction compétente, d’ordonner toute mesure de sécurité nécessaire. La CNIL peut également dénoncer au Procureur de la République les infractions à la loi informatique et libertés, prévues aux articles 226-16 à 226-24 du Code pénal.

Qui et comment contrôlera la conformité au RGPD ?

  • Une mission de contrôle vise prioritairement à obtenir copie du maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en oeuvre des traitements de données à caractère personnel.
  • La délégation de la CNIL peut demander communication de tous documents nécessaires à l’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie.
  • Les contrôleurs peuvent accéder aux programmes informatiques et aux données, et en demander la transcription pour les besoins du contrôle.
  • La délégation peut demander copie de : contrats (ex.: contrats de location de fichiers, contrats de sous-traitance informatique), formulaires, dossiers papiers, bases de données, etc.
  • Un procès-verbal de fin de mission est établi à l’issue du contrôle, pour préciser notamment la liste des documents dont une copie a été effectuée.

Comment se mettre en conformité ?

  1. Les bonnes pratiques
    • Nommer un Déléguée à la Protection des Données (DPD)
    • Prendre en compte le concept de « Privacy By Design », dès la conception d’une application ou d’un traitement : recueil du consentement, collecte des données, cookies, sécurité et confidentialité des données, rôle et responsabilité des acteurs impliqués dans la mise en oeuvre de traitements des données.
    • Sensibiliser et former les collaborateurs à la sécurité numérique, au travers d’un plan de formation.
    • Traiter les réclamations et les demandes des personnes : droit d’accès, de rectifi-cation, d’opposition, de portabilité, et du retrait du consentement, en définissant les acteurs et les modalités.
    • Déclarer à la CNIL sous 72h toutes violations de données.
  2. Nommer un DPO en interne, si vous disposez des compétences, ou en externe via une société privée.
  3. Se faire accompagner par un partenaire afin d’être en conformité avec le règlement Européen.
  4. DPIA – Analyse d’impact sur la Protection des Données

Le DPIA est un outil d’évaluation d’impact sur la vie privée qui repose sur 2 principes :

  • La gestion des risques sur la vie privée des personnes dont vous collectez les don-nées, et qui permet de d’identifier les mesures techniques et organisationnelles pour protéger les données.
  • Les principes du RGPD et le droit fondamental, fixés par la loi.

Une étude PIA contient une description du ou des traitements concernés ainsi que leurs finalités, mais aussi une évaluation des risques pour les droits et les libertés des personnes qui sont concernées, ainsi que les mesures mises en place pour faire face aux risques.

Une PIA est obligatoire, dès lors que vous remplissez, à minima, deux des conditions ci-dessous :

  • L’évaluation d’aspects personnels ou notation d’une personne (exemple : scoring financier) ;
  • Une prise de décision automatisée ;
  • La surveillance systématique de personnes (exemple : télésurveillance) ;
  • Le traitement de données sensibles (exemple : santé, biométrie, etc.) ;
  • Le traitement de données concernant des personnes vulnérables (exemple : mi-neurs) ;
  • Le croisement d’ensemble de données ;
  • Des usages innovants ou l’application de nouvelles technologies (exemple : objet connecté) ;
  • L’exclusion du bénéfice d’un droit, d’un service ou contrat (exemple : liste noire).

Procédures globales de mise en conformité