Données Personnelles

LE RGPD, c'est quoi ?

Le Règlement Général pour la Protection des Données (RGPD) est le règlement européen entré en vigueur dans toute l'Europe le 25 mai 2018.

Il reprend, renforce et fait évoluer les règles relatives à la protection des données personnelles, qui était en France connues sous le terme de "Loi Informatique et Libertés" . Celle-ci datait de 1978, et avait notamment créé la CNIL, Commission Nationale Informatique et Libertés, chargée de faire appliquer et évoluer la loi.

La CNIL ne disparaît pas avec le RGPD. Au contraire, elle est l'autorité chargée de l'application du RGPD en France.

Suis-je concerné par l'obligation de conformité à la RGPD ?

Oui !

Quelle que soit votre activité, ou la taille de votre organisation, vous êtes forcément en possession de "données personnelles", au sens large du terme.
C'est à dire une donnée permettant l'identification d'un personne physique, directement ou indirectement... on ne peut pas faire plus large !

Vie privée ou professionnelle d'une personne, dès lors qu'on peut l'identifier avec une donnée, c'est une donnée personnelle !

Quelques exemples :

Pour communiquer avec votre client ou votre prospect, vous adressez vos emails à un interlocuteur identifié (par ex: roger.dupont@entreprise.com) ?
C'est une donnée personnelle !

Vous avez des salariés ? Vous détenez et traitez des données personnelles !

Professionnels de santé traitant des données de vos patients, établissements scolaires utilisant les données de vos élèves, associations gérant les informations de vos adhérents...etc...

Tout le monde est concerné !

Certes, dans le cadre de votre activité, vous avez besoin de ces données. Et vous n'avez pas l'intention d'en faire un autre usage.
Pour autant, vous devez vous conformer à la législation en vigueur, à savoir le Règlement Général pour la Protection des Données (RGPD) européen.

Je n'y comprends rien, ou ça ne m'intéresse pas (ou les deux !),
c'est normal ?

Oui !

Malgré tout, vous êtes responsable des données que vous traitez, et devez pouvoir justifier à tout moment de la conformité de votre traitement.

Et, au delà des sanctions prévues en cas de contrôle de la CNIL, vos données n'ont aucune valeur juridique, ni financière, si elles ne sont pas conformes.

En cas de litige, ou de transmission d'entreprise, pourrez-vous justifier de la valeur de vos données, et pour cela vous prévaloir de leur conformité ?

L'achat d'un logiciel ou d'un matériel particulier suffit-il à assurer la conformité de mes traitements de données ?

Non, la conformité au RGPD n'est pas assurée par l'achat d'un logiciel miracle.

Vous devez avant tout passer du temps, pour recenser vos traitements de données, vous assurer que votre organisation est structurée pour permettre cette conformité, la documenter, et en justifier à tout moment.

Responsable de la sécurité des données que vous traitez, vous devez de même sécuriser votre installation informatique.

La CNIL ne peut-elle pas me guider ?

Si, et elle le fait déjà !

Sur son site internet, www.cnil.fr, la Commission Nationale de l'Informatique et des Libertés présente des outils et guides méthodologiques, que vous pouvez tout à fait mettre en œuvre de manière autonome. Je vous invite d'ailleurs à le faire !

Vous manquez de temps ?
vous souhaitez être épaulé et accompagné dans votre démarche vers la conformité ?

Vous savez désormais à qui vous adresser !

 

Concrètement, on fait quoi ?

Je vous propose 3 volets d'action :

Premier volet : Registre des traitements

Objectif : établir le registre des traitements et identifier les actions nécessaires à la conformité

Deuxième volet : Sécurité des données

Objectif : diagnostiquer le niveau de sécurité de votre système d'information et identifier les corrections critiques

Troisième volet : Plan d'action

Objectif : prioriser et mettre en œuvre les actions et corrections identifiées.

 

Et après ?

Désignez un Délégué à la Protection des Données

Cette désignation est obligatoire dans certains cas (Organisme public, traitement de données sensibles, traitements à grande échelle) et vivement conseillée dans tous les autres !

Prévue par les articles 37, 38 et 39 du RGPD, le DPD (ou DPO en anglais) est principalement chargé :

  • de recueillir des informations permettant de recenser les activités de traitement;

  • d’analyser et vérifier la conformité des activités de traitement;

  • d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;

  • de contrôler le respect du règlement et du droit national en matière de protection des données ;

  • de conseiller l’organisme sur la réalisation d’une analyse d'impact relative à la protection des données et d’en vérifier l’exécution ;

  • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

La fonction de Délégué à la Protection des Données peut être interne, mutualisée, ou externalisée.

 

On prend rendez-vous ?

 

C'est par ici !