La mise en conformité : RGPD

  /    /  La mise en conformité : RGPD

RGPD : Réglement (européen) général de protection des données

Adopté le 27 avril 2016 et applicable depuis le 25 mai 2018.

Il remplace la loi nationale informatique et liberté (n°78-17) qui date du 6 janvier 1978. Cette dernière est à l’origine de la création de la CNIL et a servi de socle au RGPD.

L’objectif est double :

  • faire respecter les droits des personnes dont les données sont collectées : garantir la protection de la vie privée. Seules les données des personnes physiques sont concernées.
  • permettre le traitement de ces données tout en respectant un cadre d’obligation.

Dès lors qu’il y a collecte de données personnelles (hormis pour un usage privé), il est nécessaire de suivre un certain nombres de règles en matière de respect de la vie privée.

Il faut d’abord comprendre ce qu’est une donnée personnelle et un traitement de données personnelles.

Un peu d’histoire

En 1974, un scandale éclate concernant le fichage des citoyens français, appelé « projet Safari« .

Le ministère de l’Intérieur projette de collecter et interconnecter des données en provenance de la Sécurité sociale, du Trésor public et de la police.
Dans le contexte de l’après-guerre, l’inquiétude monte quant au fichage des citoyens et des risques de dérive.

En 1978, la loi informatique et liberté est votée. La CNIL est créée.

Par la suite, la marchandisation des données, puis la traçabilité (au quotidien, nous laissons des traces informatiques) vont pousser le législateur à fixer de nouvelles règles vis à vis du secteur privé : directive du 24 octobre 1995 (transposition 6 août 2004), renforcement des obligations des entreprises et nouveaux pouvoirs pour la CNIL : les sanctions financières.

Puis vint l’explosion des technologies qui « surveillent » les personnes : objets connectés, géolocalisation… Mais aussi les problématiques sécuritaires (liés au terrorisme notamment…), qui nécessitent de la surveillance. Le règlement européen de 2016 en a découlé.

C’est la fin des déclarations à la CNIL, remplacées par l’obligation de documenter sa conformité : principe de responsabilité.
La CNIL se voit doter d’un régime de sanctions administratives beaucoup plus fort : 4% du chiffre d’affaire mondial d’une entreprise ou jusqu’à 20 millions d’euros.
Le règlement prend aussi en compte la circulation des données hors de l’Europe.

Le RGPD

L’entreprise (ou affilié) est responsable de sa conformité.
La CNIL a édité un petit guide pour débuter :

RGPD par où commencer

L’entreprise doit documenter sa conformité au travers du registre de traitement de données.
La CNIL propose un modèle de registre.
La constitution dudit registre permet de s’interroger sur les données dont l’entreprise à réellement besoin, la base légale de la collecte, la durée de conservation des données, la pertinence (principe de minimisation).
L’entreprise doit s’assurer que les droits des personnes sont bien respectés (accès, rectification, opposition, effacement).
Elle doit prévoir des procédures pour pouvoir respecter ses droits.
Le RGPD introduit 3 nouveaux droits : portabilité, limitation du traitement, décision individuelle automatisée.

La notion de sécurisation des données est beaucoup plus forte. La CNIL propose quelques outils pour améliorer cette sécurisation.

Comprendre le RGPD. Le menu « ma conformité au RGPD » est très complet.

La CNIL a réalisé avec BPI France un guide pour les TPE/PME.

Le cas des données sensibles est à considérer avec attention et doit souvent faire l’objet d’une analyse d’impact.

Infographie du CLUSIF : Résumé du RGPD

Enfin, la CNIL propose un MOOC pour mieux comprendre tous les aspects de la mise en place du RGPD.

Quelques cas de condamnation

You don't have permission to register