Tout comprendre sur le RGPD : le Règlement Européen sur la protection des données.

Actualités, Réglementation

2 février 2018

Le saviez-vous ?

 

En 1974, une enquête du journal Le Monde crée un énorme scandale : chaque français s’est vu attribuer un numéro d’identification unique pour tous les fichiers administratifs (sécurité sociale, déclaration de revenus, casier judiciaire).Par conséquent,  un réseau interconnecté de recensements de données a été mis en place grâce à ce numéro. Ce projet gouvernemental connu sous le nom de « SAFARI » (Système automatisé pour les fichiers administratifs et le répertoire des individus) permettait au gouvernement de récolter diverses informations des citoyens de l’ordre personnel (opinions religieuses, politiques…). La population française était alors «sous surveillance » des différentes structures de l’Etat. Dans un pays, où liberté et égalité font partie intégrante des devises de la République française, il était impératif de créer un outil de défense qui protégera la vie privée des Français. C’est la naissance de la CNIL.

 

Depuis le début des années 2000, on assiste à l’explosion d’internet et l’émergence du Big Data. L’exploitation des données est devenue une opportunité inouïe pour les grandes entreprises de s’enrichir, c’est notamment le cas des GAFA (Google, Apple, Facebook, Amazon). Les consommateurs s’en inquiètent et prennent peur.  Aujourd’hui, plus que tout, la protection et la sécurisation des données sont devenues un triple enjeu de confiance, de fiabilité et de réputation pour les Etats Européens. C’est pourquoi ces derniers se sont alliés pour renforcer la protection des données des citoyens européens. C’est ainsi que le RGPD est voté en 2016, et rentrera en vigueur le 25 mai prochain. C’est donc pour bientôt !

Qu’est-ce que le RGPD ?

Approuvé officiellement par le Parlement Européen en avril 2016, le Règlement Général européen sur la Protection des Données privées (RGPD) remplacera les lois nationales telles que la loi informatique et libertés en France unifiant la protection des données et facilitant la libre circulation des données dans les 28 Etats membres de l’Union Européenne.

Ce règlement, sera applicable dès le 25 mai 2018. Le champ d’application de ce règlement concerne les données privées (1) permettant d’identifier directement ou indirectement les citoyens européens ainsi que les données sensibles (santé, biométrique, ethnique, appartenance politique ou croyances religieuses …).

Toutes les organisations dès lors qu’elles traitent des données privées ou sensibles de manière informatisée ou manuelle devront se conformer à ce règlement. Sont ainsi concernées les entreprises, les administrations, les collectivités, les associations et autres formes de personnes morales. Une personne physique traitant les mêmes données pour des raisons personnelles n’est pas concernée par l’application de ce règlement.

Les déclarations obligatoires à la CNIL ne sont plus systématiques et disparaissent au profit de la tenue systématique d’un registre de traitements des données. Cela est lié au principe d’accountability qui fait que l’entreprise doit garantir, à tout moment, que les process en place sont conformes, sécurisés et garantissent la confidentialité des données. A noter que la déclaration à la CNIL est maintenue  pour des incidents affectant la confidentialité et/ou l’intégrité des données privées ainsi que les traitements particulièrement sensibles.

Les organisations ne respectant pas cette nouvelle réglementation  s’en verront encourir  des sanctions beaucoup plus importantes qu’à l’heure actuelle. Ainsi les pénalités sont renforcées avec des nouveaux seuils de 10 à 20 millions d’euros selon le type de non-conformité, voire pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial pour les plus grandes entreprises.

Selon la taille et les activités des organisations, un Délégué à la Protection des Données (DPD ou DPO), anciennement Correspondant Informatique et Liberté (CIL)) ainsi que des Responsables des Traitements manipulant des données privées et/ou sensibles doivent être nommés. Sa désignation est obligatoire pour les organismes du secteur public et les sociétés traitant des données sensibles (banque, santé, par exemple) et / ou en masse (transport, par exemple). Dans les autres cas, son recours est vivement recommandé, d’autant plus que le DPO peut être externe.

Le citoyen européen voit ses droits renforcés (le droit à l’oubli, le droit de refuser ou consentir explicitement que ses données privées soient utilisées dans les traitements, le droit de consulter et d’obtenir une copie de ses données privées stockées dans les Systèmes d’Information, le droit de les faire corriger si nécessaire, …).

Les moyens nécessaires pour que les citoyens puissent exercer leurs droits doivent être mis en œuvre par les organisations, la charge de la preuve de la conformité leur étant désormais dévolue.  

Le règlement s’applique également aux sous-traitants, le donneur d’ordre, étant co-responsable, doit s’assurer de la conformité de toute la chaîne de traitement. Des points d’attention sont à prendre en compte lorsque les traitements sont réalisés en dehors de l’Union ou de l’Espace Economique Européen.

Ce règlement requiert une mise en œuvre rapide afin, de maîtriser les risques techniques et financiers pris lors de chaque traitement de données privées, d’éviter de perdre la confiance numérique des citoyens et une dégradation durable de l’image de l’organisation.

Il faut passer à l’action, dans les prochains articles, nous allons vous donner des conseils pour bien vous préparer à l’application du RGPD.  

(1) Les données telles que le nom, le prénom permettent d’identifier directement une personne, une adresse, un numéro de téléphone, un numéro de sécurité sociale ou un compte bancaire, une adresse IP permettent d’identifier indirectement la personne physique.

 

Article rédigé avec la collaboration de SARM Conseil.

Dans la même rubrique

De l’impôt sur le revenu au prélèvement à la source

2018 est déjà une année bien chargée avec la mise en vigueur du RGPD. L’année 2018 va marquer la fin de l’impôt sur le revenu tel que nous le connaissons depuis de nombreuses années.

Le RGPD : le réglement européen tant attendu

Tout comprendre sur le RGPD : le Règlement Européen sur la protection des données.

Tout comprendre sur le RGPD : le Règlement Européen sur la protection des données.

Tout comprendre sur le RGPD : le Règlement Européen sur la protection des données.

Share This