Obligations RGPD

Ce règlement général sur la protection des données apporte 6 changements importants et impose de nouvelles obligations RGPD.

Les changements importants

1) C’est à la fin des obligations déclaratives. Les entreprises doivent maintenant prouver leur conformité au RGPD («accountability»).
2) Le risque de sanction est élevé. Il peut aller jusqu’à 20 millions d’euros ou 4% du CA mondial
3) Les obligations RGPD et responsabilités des sous-traitants sont alignées, pour l’essentiel, sur celles des responsables de traitements.
4) Les droits des personnes sont renforcées avec la consécration du droit à l’oubli et la création du droit à la portabilité des données.
5) Des outils favorisant la conformité (certification,codes de conduite,analyse d’impact) doivent etre mis en place.
6) Un Délégué à la Protection des Données (DPD ou Data Protection Officer) sera obligatoire dans certains cas et pour certains organismes ou entreprises.

La conclusion de nouveaux marchés sera conditionnée à la conformité du RGPD. Les partenaires exigeront le respect des règles.Ces obligations RGPD sont une opportunité.


Les 6 grandes étapes / obligations RGPD


Obligations RGPD / Etape 1 : Désigner un pilote

Compte tenu de l’importance de ce sujet, chaque structure juridique concernée doit désigner un responsable de l’application de cette réglementation.

 

pilote rgpd

Par défaut, le chef d’entreprise est responsable.

 

 

La désignation d’un délégué à la protection des données (DPD) sera obligatoire dans 3 cas:
• Pour une autorité publique ou un organisme public
• Ensuite lorsque les activités de base de l’organisme consistent en des opérations de traitement qui du fait de leur nature, de leur portée et/ou de leurs finalités,exigent un suivi régulier et systématique à grande échelle des personnes concernées
• Enfin lorsque les activités de base de l’organisme consistent en des traitements à grande échelle de données sensibles ou de données relatives aux condamnations

Qui peut être DPD?

• Un salarié ou un prestataire externe (Ayant des connaissances spécialisées en matière de protection des données)
• Il doit bénéficier des ressources pour l’accomplissement de ces missions
• Il faut qu’il soit facilement accessible

Quelles sont ses missions?

• informer et conseiller l’organisme et ses salariés sur les obligations RGPD
• contrôler le respect du RGPD dans l’organisme (et en pratique, s’occuper de la documentation sur les traitements)
• conseiller les organismes notamment pour les analyses d’impact
• être le point de contact de la CNIL


Obligations RGPD / Étape 2 : Cartographier les traitements de données personnelles

cartographie données rgpd

Recenser, répertorier,trier les données et effectuer des analyses d’impact PIA pour certaines données sensibles

Toutes les informations se rapportant à une personne physique identifiée ou identifiable sont des données personnelles.  Et ce directement ou indirectement (nom, données de location, adresse IP, identifiants, un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale…).

Toutes les opérations effectuées à l’aide de procédés automatisés appliqués à des données personnelles sont des traitements de données personnelles. Peu importe le procédé (collecte, enregistrement, organisation, structuration, conservation, modification, extraction, consultation, utilisation, diffusion,interconnexion,effacement…).

L’application de cette obligation RGPD est très large puisqu’elle concerne tout traitement de données personnelles.

•Tous les organismes mettent en œuvre des traitements de données personnelles (les plus fréquents étant par exemple les fichiers clients et les fichiers sur les salariés,ou encore le contrôle des accès à l’entreprise)
Les obligations RGPD s’appliquent à tout organisme, quelle que soit sa taille (seules les personnes physiques dans le cadre d’une activité strictement personnelle sont exclues du champ d’application)
• Le RGPD ne s’applique pas aux traitements de données anonymisées (mais il s’applique en cas de pseudonymisation)


Obligations RGPD / Etape 3 : Prioriser les actions et respecter les droits des personnes

PLAN ACTION RGPD CNIL

 

La logique de ce RGPD répond à un certain nombre de principes

finalité: toute donnée est collectée pour des finalités déterminées, explicites ou légitimes
minimisation:les données collectées doivent être adéquates,pertinentes et limitées au regard des finalités
exactitude :les données collectées doivent être exactes et tenues à jour
limitation de durée: toute donnée est collectée pour une durée adaptée aux finalités
loyauté,licéité et transparence dans la collecte des données
sécurité des données:mesures physiques et informatiques
• Le RGPD a renforcé l’exigence du consentement des personnes
• L’organisme doit être en mesure de démontrer que la personne concernée a donné son consentement à la collecte de ses données
• Le consentement doit résulter d’une déclaration ou d’un acte positif clair (pas de case précochée)
• Le consentement est supprimable avec une procédure aussi simple que lorsqu’il a été donné


Obligations RGPD / Etape 4 : Gérer les risques et sécuriser les données

• L’organisme qui sous-traite un traitement de données personnelles doit faire appel uniquement à des sous-traitants présentant des garanties suffisantes. (quant à la mise en œuvre de mesures techniques et organisationnelles appropriées). De manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des personnes concernées.
• L’organisme doit mettre en œuvre des mesures techniques et organisationnelles appropriées. Il doit garantir un niveau de sécurité adapté au risque.
• En cas d’identification d’un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, l’organisme doit effectuer une analyse d’impact (avec l’aide du DPD s’il existe).

securiser données rgpd

L’analyse devra prévoir:

  • une description des opérations de traitements et de ses finalités
  • une évaluation de la nécessité et de la proportionnalité du traitement par rapport à ses finalités
  • une évaluation des risques pour les droits des personnes concernées
  • les mesures envisagées pour faire face aux risques évalués

 


Obligations RGPD / Etape 5: Organiser les processus internes

L’organisme informe les personnes dont les données sont collectées. Il doit le faire de façon concise, transparente, compréhensible, en des termes clairs et simples. L’organisme doit faciliter l’exercice des droits des personnes concernées. Il doit y répondre dans un délai d’un mois (éventuellement prolongeable).
Ensuite, les règles du RGPD (minimisation des données, pseudonymisation) garantissent des mesures techniques et organisationnelles appropriées dès la conception du traitement.

• Enfin, en cas de violation de données à caractère personnel, l’organisme doit la notifier à la CNIL dans les 72h et à la personne concernée dans les meilleurs délais.

Il vous appartient de mettre en place une méthode ou des outils réduisant le risque de violation de données. Et si, malgré tout ce que vous avez pu faire, vous détectez une atteinte à la sécurité de données, vous devrez prévenir la CNIL.

organiser processus rgpd CHR


Obligations RGPD / Etape 6 : Documenter la conformité

• Une obligation des organismes de documenter leur conformité au RGPD remplace les anciennes formalités administratives déclaratives. L’organisme doit en effet démontrer un traitement des données conforme au RGPD.

• L’organisme doit tenir un registre des traitements comprenant certains paramétres. ( le nom et les coordonnées du responsable et du DPD, les finalités, les catégories de personnes concernées et des catégories de données à caractère personnel, les destinataires des données, les transferts éventuels vers des pays tiers, la durée de conservation des données et les mesures techniques et organisationnelles mises en place pour la sécurité des données)
• Les contrats avec les sous-traitants de traitements de données à caractère personnel doivent prévoir précisément les droits et obligations RGPD de chaque partie, et notamment celles mises à la charge du sous-traitant (art.28)

rgpd cnil

 

Vous pouvez estimer à la lecture de ces informations que ces obligations sont lourdes. Je vous invite alors à prendre conscience que le RGPD peut etre positif pour vous: positiver-le-rgpd