Règlement Général sur la Protection des données - RGPD

Qu'est-ce que c'est que le RGPD ?

Après plus de quatre années de négociations législatives, le Règlement Général sur la Protection des Données, dit « RGPD » (en anglais : General Data Protection Regulation, GDPR) a été définitivement adopté par le Parlement européen le 14 avril 2016. Ses dispositions seront directement applicables, sans transposition nationale, dans l'ensemble des États membres de l'Union Européenne à compter du 25 mai 2018 !

Demander une étude de cyber-assurance

Les grandes dates du RGPD

Ce règlement remplacera l’actuelle Directive sur la protection des données personnelles adoptée en 1995, dans l’objectif de renforcer et d’unifier la protection des données pour les individus au sein de l'Union européenne. A ce titre, il instituera de nouveaux droits pour les citoyens, une meilleure coordination des autorités de protection des données mais également de lourdes sanctions aux entreprises en cas de méconnaissance de ses dispositions.

Les chiffres relatifs au RGPD

Seules 10% des entreprises

Françaises estiment pouvoir parvenir à se mettre en conformité au RGPD à l’échéance du 25 mai 2018.

28 000 Data Protection Officer

Au moins devront être nommés en Europe pour répondre à l’obligation posée par l’article 37 du RGPD.

33 % des entreprises

Seulement prennent conscience du RGPD dont 20% affirment y être déjà conformes, 59% travaillent à l’être et 21% avouent ne pas du tout être préparés.

68% des DSI

Estiment que la complexité de leurs services informatiques entrave significativement leur aptitude à localiser leurs données à tout moment.

Quelles entreprises sont concernées ?

Critère Technique :

Le Règlement va s’appliquer à toutes les entreprises qui effectuent :

des traitements de données personnelles, automatisés en tout ou en partie.
des traitements non automatisés de données à caractère personnel qui sont contenues ou pourraient être contenues dans un fichier.

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d’être utilisés. Il peut s’agir de référence à un numéro d’identification ou d’un ou plusieurs éléments qui lui sont propres (Nom, coordonnées, données de localisation, données physiologiques, génétiques, psychiques, économiques, culturelles,…).

Critère Géographique :

Ce règlement s'appliquera à toute entreprise (responsable de traitement des données ou sous-traitant) :

ayant un établissement au sein de l'Union européenne.
et/ou qui collectent/traitent des données à caractère personnel de résidents européens.

Ainsi, le RGPD s’appliquera chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet puisque la portée de ce règlement se construit désormais autour de la personne dont les données seront collectées et traitées.

Les obligations du RGPD

Les entreprises vont devoir se mettre en conformité avec un certain nombre d’obligations imposées par le RGPD, dont notamment :

Analyse d’impact relative à la vie privée (EIVP ou PIA) : le responsable de traitement devra conduire une étude d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées (Art.35).
Cartographie : établir un état des lieux des données et des traitements informatiques utilisés dans l'entreprise.
Consentement : obligation d’obtenir un consentement clair et explicite de la personne lorsque ses données sont collectées et traitées. La charge de la preuve du consentement incombe au responsable de traitement (Art. 4- 11°& 7).
Conservation : les données ne devront être conservées aussi longtemps que nécessaire et leur accès, leur modification, leur restitution jusqu’à leur effacement sur la demande des individus concernés, devront être garantis.
Co-responsabilité des sous-traitants : les prestataires auront une responsabilité directe et se verront attribuer une large partie des obligations imposées aux responsables de traitement. (Art. 27 & 28 & 29).
Désignation d'un "Délégué à la protection des données" (DPO) Celui-ci veillera au respect de la réglementation à tous les niveaux dans l’entreprise (Art.37).

Droit à l'oubli numérique : ce concept va permettre le droit à l’effacement des données (Art.17).
Notification : l'obligation de notifier à l'autorité et à la personne en cas de violation de données à caractère personnel dans les 72 heures (Art.33 & 34)
Portabilité des données : droit de réclamer le transfert de ses données personnelles à un autre fournisseur de services suivant certaines règles spécifiques de transfert (Art.44-50)
Protection des enfants : L’information sur les traitements de données les concernant doit être rédigée en des termes clairs et simples, que l’enfant peut aisément comprendre (Art.8)
Protection dès la conception des données : établir un état des lieux des données et des traitements informatiques utilisés dans l'entreprise.
Tenue d’un registre des traitements : des données personnelles obligatoire. (Art.30)

Pour résumé : l'objectif du GDPR (General Data Protection Regulation) est de simplifier et d'harmoniser la gestion des données dans les différents pays de l’Union Européenne. Le règlement impose des devoirs et des obligations aux entreprises sur la collecte et les traitements des données. Les données devront être sécurisées contre les risques de perte, de vol, de divulgation ou contre toute autre compromission. Les mesures et les procédures pour assurer cette protection devront être documentées.

Les concepts clés du RGPD

Ce concept implique d’intégrer la notion de respect de la vie privée dès la conception d’un système d’information, d’une base de données ou d’une application (s’assurer de la pertinence des données collectées, anticiper l’information, le droit d’accès,…)

PRIVACY BY DESIGN

La désignation d’un DPO sera obligatoire pour le secteur public et pour les entreprises qui font des traitements de données sensibles ou à grande échelle. Le DPO sera ainsi le garant de la conformité au RGPD et de la sécurisation des données de l’entreprise.

DATA PROTECTION OFFICER

Ce principe de « protection de la vie privée par défaut » va permettre aux personnes dont les données sont collectées d’obtenir le plus haut niveau de protection possible (obtention du consentement, accessibilité restreinte de tiers aux données, mécanisme de destruction des données,…)

PRIVACY BY DEFAULT

Ce principe impose au responsable des traitements de prendre toutes les mesures requises pour garantir la conformité des traitements de données à caractère personnel au RGPD et d’en assurer une véritable traçabilité et transparence vis-à-vis des autorités compétentes.

ACCOUNTABILITY

Les sanctions administratives du RGPD

En cas de méconnaissance des dispositions du RGPD, les sanctions administratives prononcées par les autorités de protection pourront s’avérer extrêmement lourdes pour les entreprises (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial d’une entreprise).

Ces sanctions pécuniaires pourront être prises en complément ou à la place de nombreuses mesures correctrices comme notamment : ordonner de communiquer une violation de données à la personne concernée, rectifier ou suspendre le flux de données vers un pays tiers, effacer certaines données, limiter des traitements ou encore retirer une certification.

Il est primordial de prendre conscience que ces mesures et sanctions ne seront plus limitées au seul responsable de traitement mais pourront également être prises à l’égard d’un sous-traitant. Dans l’hypothèse de traitements transfrontaliers, la Cnil travaillera avec d’autres autorités de protection afin qu’une seule décision de sanction soit adoptée par l’autorité chef de file.

Réglementation pour la Protection des données personnelles

Amende pouvant aller jusqu'à 2% du CA annuel mondial de l'entreprise et limitée à 10 millions d'euros en cas de :

non-respect des principes de la protection des données personnelles,
aux règles de consentement ou aux transferts de données personnelles hors de l'Espace économique européen.

Amende pouvant aller jusqu'à 4% du CA annuel mondial de l'entreprise et limitée à 20 millions d'euros en cas de :

non-respect des règles de désignation du DPO,
absence de notification des violations de données ou de registre des traitements.

Nous sommes convaincus qu’il n’y a pas d’innovation sans protection des données personnelles. Il est possible d’innover et que, loin de la contraindre, la protection des données permet de développer l’innovation.

Présidente de la CNIL

Cyber-assurance 1

Souscrire

Prise en charge des pertes financières
Mise en place d'une gestion de crise
Indemnisation des frais d'experts
Prise en charge des enquêtes et sanctions administratives
Frais de défense en cas de mise en cause de la responsabilité civile

RGPD - Règlement Général sur la Protection des données