En savoir plus sur le RGPD

Après trois ans de « politique de prévention » la CNIL a décidé de sanctionner. La CNIL, Le gendarme des données, entend désormais utiliser toute sa panoplie de sanction contre les GAFAM, mais également sur les moyennes et petites entreprises, comme le montre les 138 millions d’amende infligées en 2020.

Entré en vigueur le 25 mai 2018, le règlement Général de Protection des données, vient remplacer la directive 95/46/CE et renforcer les obligations des entreprises sur les données personnelles qu’elles traitent.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est définie comme toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Il existe des types de données particulières, dite données « sensibles », nécessitant une vigilance accrue de la part du responsable de traitement et faisant l’objet d’une protection juridique particulière. Ces données sont les suivantes : l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.  

 

Qu’impose le RGPD ?

Le RGPD vient poser 6 grands principes que doivent s’imposer les entreprises souhaitant traiter des données personnelles :

  • Traiter les données de manière Licite, loyale et transparente
  • Collecter les données pour des finalités déterminées, explicites, légitimes (limitation des finalités)
  • D’assurer de l’adéquation, pertinence, nécessaire à la finalité (minimisation des données)
  • Garantir l’exactitude des données
  • Imposer une conservation non excessive (limitation dans le temps)
  • Mettre en place des mesures permettant l’intégrité et la confidentialité des données

 

Comment s’assurer du bon respect du RGPD ?

Afin de garantir la conformité à la règlementation, l’entreprise se doit de mettre en place certaines procédures interne :

- Désigner un DPO

Pour aider à cette mise en place, le règlement à créer un nouveau rôle au sein des organisation : le Délégué à la protection des données personnelles (DPO). Celui-ci sera le pilote de la mise en place et du respect du RGPD. Afin de l’aider dans sa tâche, il est nécessaire de garantir son indépendance et de lui fournir les moyens de sa mission, notamment les outils numériques adéquats. L’outil ORYGA développé par Clardian permet par exemple de suivre et d’automatiser l’ensemble des tâches nécessaire à la bonne mise en place du RGPD

- Cartographier les traitements de données personnelles et le cycle de vie de la donnée :

Toute entreprise de plus de 250 salariés, ou traitant un nombre important de données à l’obligation de mettre en place un registre des traitements. Ce registre recense l’ensemble des activités nécessitant la collecte et le traitement de données personnelles. (photo d’un registre de traitement Oryga ?)

- Documenter la mise en conformité

Le RGPD impose de s’assurer de la sécurité des données traitées. Inspirées par la norme ISO 27001, la CNIL recommande chaudement la mise en place d’un système qualité et de moyens techniques (antivirus, gestion des accès…) respectant les règles de l’art. Toutes ces procédures et moyens techniques doivent être documentés.

Le responsable de traitement doit s’assurer que ses prestataires respectent le RGPD et s’impose des normes de sécurité adéquates.

- Faire des analyses d’impact sur les traitements

Chaque traitement doit faire l’objet d’une analyse de conformité au RGPD. Dans le cas ou l’un de ces traitements demanderait une vigilance particulière, il est nécessaire de faire une analyse d’impact. Il en est ainsi lorsque le traitement présente un risque élevé pour la vie privé des personnes concernées par le traitement. C’est notamment le cas lorsque le traitement porte sur un nombre important de personnes, ou qu’il contient des données sensibles, telles que les données de santé.

Le logiciel ORYGA permet de faire des analyses d’impacts à travers un formulaire prédéfini, basé sur une gestion des risques suivant la méthode EBIOS

- Assurer les droits des personnes dont l’entreprise traite les données

Le RGPD est venu sanctuariser et créer des droits pour les personnes dont les données personnelles font l’objet d’une collecte et de traitement :

  • Droit d’être informé (art. 13 et article 14 du RGPD + obligations prévues par l’article 12)
  • Droit d’accès (art. 15)
  • Droit de rectification (art. 16)
  • Droit d’effacement (« droit à l’oubli » - art. 17)
  • Droit à la limitation du traitement (art. 18)
  • Droit à la portabilité (art. 20)
  • Droit d’opposition (art. 21)
  • Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, produisant des effets juridiques (art. 22) y compris le profilage

Il est à noté que ces droits s’étendent également aux salariés de l’entreprise.

- Notifier et documenter les failles de sécurité

En cas de faille de sécurité, le RGPD impose une double notification dans un délai de 72 heures à la CNIL, ainsi qu’à la personne concernée.

Cette obligation de notification s’impose également au sous-traitant qui doit informer dans les plus brefs délais le responsable de traitement en cas de faille.

Il est nécessaire de documenter toutes les informations recueillis sur l’origine du problème et les mesures mises en place, afin de les fournir au fur et à mesure à l’autorité de contrôle, la personne concernée et/ou au responsable de traitement.

 

Des sanctions renforcées :

Le règlement européen est venu renforcer grandement les sanctions à disposition de la CNIL et de ses homologues européennes.

Outre la sanction réputationnelle, les autorités de contrôles peuvent imposer des amendes administratives diverses allant de l’avertissement, la cessation de traitement, jusqu’à des amendes à hauteur de 10 ou 20.000.000 € ou de 2% jusqu’à 4% du chiffre d’affaires annuel mondial. 

Clardian a développé l’outil ORYGA, à destination des entreprises et des DPO, permettant de simplifier la mise en place et le suivi de la mise en conformité du RGPD dans l’organisation. Véritable trousse à outil, il couvre le registre de traitement, les analyses d’impacts en se basant sur la méthode EBIOS, la documentation des failles de sécurité, le suivi des droits des personnes concernées ainsi qu’un outil de Business Intelligence pour suivre la mise en place de la règlementation dans votre organisation.

illustration contact Clardian

Démarrez dès maintenant

Vous souhaitez en savoir plus sur le RGPD et vous mettre en conformité dès maintenant ? Remplissez un formulaire de contact et un de nos experts vous contactera dans les meilleurs délais.

Démarrer