Règlement Général sur la Protection des données : le RGPD
Le 25 mai 2018, le règlement européen est entré en application. De nombreuses formalités auprès de la CNIL disparaîssent. En contrepartie, la responsabilité des organismes est renforcée. Ils doivent désormais assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité. Par exemple il peut s'agir de encadrer l'utilisation des cookies ou d'augmenter la sécurisation des sites internet et de tous les sytèmes informatiques. Décryptage...
LE RGPD en 6 étapes
1. Désigner un pilote
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d'un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d'avance et vous permettra d'organiser les actions à mener.
2. Cartographier
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L'élaboration d'un registre des traitements vous permet de faire le point.
3. Prioriser
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
4. Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d'impact relative à la protection des données (AIPD).
5. Organiser
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
6. Documenter
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Qui est concerné ?
Le RGPD concerne toute entreprise – start-up, PME, comme grands groupes - qui traite des données personnelles de citoyens européens. La mise en conformité est un impératif non discutable, au risque de payer jusqu’à 20 Mi € ou 4% du chiffre d’affaires annuel d’amende.
Nombreuses équipes à mobiliser, budget important à affecter, revue des processus internes à réaliser… A la lecture du site internet de la CNIL, le travail à accomplir semble immense.
Le consentement : la notion clé
Fini les cases précochées, les demandes de consentement qui valent pout tout et n’importe quoi ou celles noyées dans un flot indigeste de conditions générales que personne ne lit. Le RGPD redonne tout son sens au mot consentement. Le règlement européen sur la protection des données personnelles définit même précisément les conditions de son recueil.
Le texte précise clairement " Le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale ".
Ce consentement doit pouvoir être retiré aussi simplement qu'il a été donné et la personne informée de cette possibilité de retrait. Le consentement doit être distinct des autres questions posées, du reste du contrat ou des conditions générales d’utilisation (CGU). Ainsi mentionner «en acceptant les CGU, vous acceptez de recevoir des informations de notre société » serait jugé illégal.
Enfin, les mineurs font l’objet d’un traitement spécifique. Les enfants de moins de 13 ans ne peuvent cas donner eux-mêmes leur consentement. Pour ceux âgés de 13 à 15 ans inclus, le consentement parental est en règle générale réclamé.
La portabilité des données : l’obligation phare du RGPD 2018
Depuis le 1er janvier 2018, le RGPD impose aux professionnels qui constituent des fichiers de consommateurs ou de clients impliquant des données nominatives d’utiliser des supports facilement exploitables. Plus exactement, les fichiers qui comportent des données nominatives doivent être constitués sur des formats facilement modifiables, mais aussi transférables ou détruits, sur simple demande du consommateur.
En bref, cette nouvelle obligation relative au Règlement Européen pour la Protection des Données 2018 (RGPD) est appelée « obligation de portabilité des données. »
Rappelons que les professionnels qui disposent de ce type de fichier doivent également opérer une déclaration simplifiée auprès de la CNIL en utilisant le site : declarations.cnil.fr.Cette obligation était déjà en vigueur avant le Règlement Européen pour la Protection des Données.
En cas de cyberattaque
Enfin, à partir de mai 2018, le RGPD obligera toutes les entreprises qui subissent une cyberattaque à informer la CNIL sous 48 heures pour enquête. Si celle-ci révèle un manquement, en plus de verser les sanctions financières évoquées ci-dessus, les entreprises devront rendre l’événement public en prévenant les consommateurs concernés et les médias.