EMI | Le RGPD Retour à la page d'accueil

logo RGPD Le Règlement Général de la Protection des données (RGPD ou RGPD en anglais) est applicable depuis mai 2018. Il organise et encadre désormais toute collecte de données personnelles et constitue le texte de référence en la matière.

Les principaux objectifs du RGPD sont d'accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l'augmentation du pouvoir des autorités de régulation et des sanctions qui peuvent atteindre 4% du chiffre d'affaires mondial d'une entreprise. Sont ici visées les GAFAM et autres collecteurs de données en masse.

Mais sa mise en œuvre n'est pas si simple. Règlement ou règlementation ?

| Difficulté | DYS DYS

GDPR

La quoi ?

La GDPR (General Data Protection Regulation, en français RGPD) est l’acronyme de la nouvelle réglementation européenne qui concerne la protection des personnes physiques vis-à-vis du traitement des données à caractère personnel ainsi que la libre circulation de celles-ci.

Ce règlement européen a été publié le 4 mai 2016. La GDPR est applicable et obligatoire dans l’ensemble des États membres de l’Union Européenne depuis le 25 mai 2018.

Absolument toutes les entreprises qui récoltent et traitent les données de personnes physiques situées sur le territoire de l’Union Européenne sont concernées. Et ce, sans tenir compte du lieu de traitement de ces données. Les sous-traitants sont également concernés par la réglementation.

Du nouveau ?

Même si les principes de base de la réglementation initiale persistent, de nouveaux éléments font leur apparition :

Une réglementation unique

En plus de s’appliquer à tous les états membres de l’Union Européenne, la réglementation passe les frontières de l’Europe. Les entreprises établies en dehors de l’Union Européenne qui traitent des données relatives aux organisations et/ou aux résidents de celle-ci doivent également appliquer la GDPR.

L’individu reprend le contrôle de ses données personnelles

Par le biais de cette réforme, les individus bénéficient de 3 droits majeurs sur leurs données personnelles :

1. Le droit d'accéder à ses données

Ainsi, chaque personne a le droit de savoir si ses données sont analysées, où elles le sont et pourquoi elles le sont (finalité poursuivie). De plus, le responsable du traitement est tenu de fournir une copie des données, gratuitement, dans un format électronique.

2.Le droit à l'oubli

Chaque personne peut exiger que ses données soient supprimées mais aussi, à ce qu’elles ne soient plus diffusées et traitées. Cette demande pouvant être justifiée par le simple fait que l’on retire son consentement ou encore que les données soient obsolètes ou non-pertinentes. Par exemple : La suppression d’un contenu, d’un commentaire ou d’un profil sur un site internet.

3. Le droit à la portabilité des données

Enfin, chaque individu peut demander à recevoir l’ensemble de ses données personnelles dans un format informatique lisible par tous afin de les transmettre à un autre responsable de traitement. Par exemple : Le transfert de données personnelles lors d’un changement de banque, de réseau social, d’opérateur téléphonique, de commerçant…

Vous l’aurez compris, l’ensemble de ces droits ne doit pas être oublié dans le cadre de démarches marketing ou de toute relation commerciale.

Un niveau de sécurité renforcé

Et cela en amont de la récupération.

Cette notion impose aux organisations de répondre à certaines exigences relatives à la protection des données personnelles et ce, dès la conception des produits, services et systèmes exploitant ces données.

Quant à cette notion, elle impose à toute organisation de disposer d’un système d’information sécurisé.

Notification en cas de fuite de données

L’autorité nationale de protection (en France la https://www.cnil.fr/ ) CPVP) doit être avertie en cas de fuite grave de données.

Nomination d’un délégué à la protection des données

Un délégué à la protection des données (DPO) est nommé au sein des organismes publics ou privés dont les activités de base nécessitent un suivi régulier et systématique à grande échelles des personnes.

De lourdes sanctions pour les fraudeurs

Toutes les entreprises ou organismes qui ne respectent pas les règles de la GDPR s’exposent à des sanctions pouvant aller du simple avertissement à l’amende jusqu’à 20 000 000€ ou, pour les entreprises dépassant 500 m€ de CA, jusqu’à de 4% du chiffre d’affaire annuel.

Le comité européen de la protection des données

Création d’un comité européen. Celui-ci fait figure d’autorité dans tout ce qui concerne l’interprétation de la réglementation.

Aides et outils

Un guide à destination des tous, enseignants, élèves, personnels est disponible en téléchargement.

image lien https://www.reseau-canope.fr/fileadmin/user_upload/Projets/RGPD/RGPD_WEB.pdf

RGPD

Des fiches (très) pratiques sur le Règlement Général pour la Protection des Données, à destination des chercheurs (mais pas que) réalisées par l'Université Paris Lumières.

image lien http://www.u-plum.fr/app/webroot/upload/files/Janvier%202019/Guide%20RGPD%202019%20web.pdf

Quelques ressources enseignant

La protection des données personnelles à l’École

Comment aborder, lors des réunions de rentrée, la question de la protection des données personnelles avec les parents, tant sur le suivi administratif et pédagogique de l’élève que par celui de l’éducation aux médias et à l’information (EMI).

image lien https://mallettedesparents.education.gouv.fr/...

Sensibiliser à l'usage des écrans et du numérique

Face à la multitude de messages et de sollicitations, aborder la place des écrans et du numérique dans les différents environnements de la vie des jeunes permet de bien situer le rôle éducatif des adultes.

image lien https://mallettedesparents.education.gouv.fr/...

Le référentiel CNIL de formation des élèves à la protection des données personnelles

Ce référentiel, initié par la CNIL, a été adopté au plan international par l'ensemble des autorités de protection des données en octobre 2016. Il a vocation à être utilisé dans le cadre des programmes scolaires quelle que soit la discipline enseignée.

Pourquoi un référentiel international de formation à la protection des données ? Les 9 domaines structurants. Progressivité des compétences du référentiel du cycle 2 au cycle 4

approche papillons
compétence

image lien http://eduscol.education.fr/...

Pour aller plus loin !

Un site proposant le texte du Règlement, le texte correspondant de (l'ancienne) Directive, le texte correspondant de la loi française, le texte correspondant de la loi belge, le(s) considérant(s) pertinents du règlement, les versions intermédiaires du règlement.

image lien https://www.gdpr-expert.eu/#articles

Le texte au complet

image lien https://eur-lex.europa.eu/

Modélisation

image lien https://i1.wp.com/sheo-tech.fr/

Une FAQ proposée par la DANE de Lyon

image lien https://dane.ac-lyon.fr/

RGPD expliqué en emojis

Le texte en dataviz par la CNIL

Le registre des activités de traitement

Qu'est-ce ?

Article 30 - Registre des activités de traitement

Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes :

a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
b) les finalités du traitement ;
c) une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées ;
f) dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données ;
g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement, comprenant:

a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données ;
recherche b) les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées ;
d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique. Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l'autorité de contrôle sur demande. Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données visées à l'article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.

Le registre est prévu par l’article 30 du RGPD (voir encadré). Il participe à la documentation de la conformité au RGPD.

Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :

Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD, le registre est un outil de pilotage et de démonstration de votre conformité au RGPD

Ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ? Est-il pertinent de conserver toutes les données aussi longtemps ? Les données sont-elles suffisamment protégées ? Etc.

image liensource : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement

Cartographier vos traitements de données personnelles

Le registre du responsable de traitement doit recenser l’ensemble des traitements mis en œuvre par votre organisme.

Dans un premier temps il s'agit donc d'identifier et de rencontrer les responsables opérationnels des différents services susceptibles de traiter des données personnelles.

Est considéré comme traitement toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Autrement dit le champ est très large et ne concerne pas que le numérique mais aussi les différentes conventions, les réutilisations d'extractions de données etc.

Pour ce faire un document recensant les informations essentielles pourra être utilisé. Vous pouvez par exemple renseigner le formulaire ci-dessous et l'envoyer à l'adresse de votre choix.

Attention ! Il s'agit d'identifier les finalités et pas les logiciels. Un même logiciel peut faire l'objet de plusieurs fiches dans le registre. Pour cela, lister les différentes activités nécessitant le traitement de données personnelles.

Pour établir la liste des traitements opérés dans votre établissement, vous pouvez recourir au questionnaire quintilien... (clic sur les boutons pour plus d'infos)

Pour les exemples présentés ici, les applications métiers sont connues depuis près de trente ans et les finalités clairement définies dans deux documents fournis par CANOPE.

Module d'aide à la rédaction du registre

L'auteur de cette page a réalisé un module d'aide à la rédaction du registre de traitement (licence creative commons BT-NC-ND comme toujours).

Basé sur un modèle proposé par la CNILinfos, ce module permet de générer les fiches à la demande.

Il est composé de 3 parties indépendantes :

Les fiches peuvent être imprimées ou sauvegardées (par mail) et/ou restaurées par simple glissé-déposé (aucune donnée n'est conservée.

Ce travail est encore en développement. Il pourrait par exemple être intéressant de partager les fiches et en faire une base commune ce qui simplifierait grandement la gestion.

A suivre donc !

Internet Module d’aide à la rédaction du registre RGPD
Internet Aide
Big data : comment les algorithmes influencent notre usage d’Internet ? http://www.educationauxmedias.eu/sites/default/files/files/FWB-Brochure%20Big%20data%2002.pdf https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf