EMI | Le RGPD Retour à la page d'accueil

logo RGPD Le Règlement Général de la Protection des données (RGPD ou RGPD en anglais) est applicable depuis mai 2018. Il organise et encadre désormais toute collecte de données personnelles et constitue le texte de référence en la matière.

Les principaux objectifs du RGPD sont d'accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l'augmentation du pouvoir des autorités de régulation et des sanctions qui peuvent atteindre 4% du chiffre d'affaires mondial d'une entreprise. Sont ici visées les GAFAM et autres collecteurs de données en masse.

Mais sa mise en œuvre n'est pas si simple. Règlement ou règlementation ?

| Difficulté | DYS DYS

GDPR

La quoi ?

logo RGPD UELa GDPR (General Data Protection Regulation, en français le RGPD : Règlement Général sur la Protection des Données) est l’acronyme de la nouvelle réglementation européenne qui concerne la protection des personnes physiques vis-à-vis du traitement des données à caractère personnel ainsi que la libre circulation de celles-ci.

Ce règlement européen, publié le 4 mai 2016, est applicable et obligatoire dans l’ensemble des États membres de l’Union Européenne depuis le 25 mai 2018.

Absolument toutes les entreprises qui récoltent et traitent les données de personnes physiques situées sur le territoire de l’Union Européenne sont concernées. Et ce, sans tenir compte du lieu de traitement de ces données. Les sous-traitants sont également concernés par la réglementation.

Du nouveau ?

Même si les principes de base de la réglementation initiale persistent, de nouveaux éléments font leur apparition.

Une réglementation unique

En plus de s’appliquer à tous les états membres de l’Union Européenne, la réglementation passe les frontières de l’Europe. Les entreprises établies en dehors de l’Union Européenne qui traitent des données relatives aux organisations et/ou aux résidents doivent également appliquer le GRPD.

L’individu reprend le contrôle de ses données personnelles

Par le biais de cette réforme, les individus bénéficient de 3 droits majeurs sur leurs données personnelles :

1. Le droit d'accéder à ses données

Chacun a le droit de savoir si ses données sont analysées, où elles le sont et pourquoi elles le sont (finalité poursuivie). De plus, le responsable du traitement est tenu de fournir une copie des données, gratuitement, dans un format électronique.

2.Le droit à l'oubli

Chacun peut exiger que ses données soient supprimées mais aussi, à ce qu’elles ne soient plus diffusées et traitées. Cette demande pouvant être justifiée par le simple fait que l’on retire son consentement ou encore que les données soient obsolètes ou non-pertinentes.

3. Le droit à la portabilité des données

Chacun peut demander à recevoir l’ensemble de ses données personnelles dans un format informatique lisible par tous afin de les transmettre à un autre responsable de traitement. Par exemple : Le transfert de données personnelles lors d’un changement de banque, de réseau social, d’opérateur téléphonique, de commerçant…

Un niveau de sécurité renforcé

Et cela en amont de la récupération.

Cette notion impose aux organisations de répondre à certaines exigences relatives à la protection des données personnelles et ce, dès la conception des produits, services et systèmes exploitant ces données.

Quant à cette notion, elle impose à toute organisation de disposer d’un système d’information sécurisé.

Notification en cas de fuite de données

L’autorité nationale de protection (en France la https://www.cnil.fr/ ) CNIL) doit être avertie en cas de fuite grave de données.

image lienFiche CNIL

image lienFormulaire de notification

Nomination d’un délégué à la protection des données

Un délégué à la protection des données (DPO) est nommé au sein des organismes publics ou privés dont les activités de base nécessitent un suivi régulier et systématique à grande échelles des personnes.

De lourdes sanctions pour les fraudeurs

Toutes les entreprises ou organismes qui ne respectent pas les règles de la GRPD s’exposent à des sanctions pouvant aller du simple avertissement à l’amende jusqu’à 20 000 000€ ou, pour les entreprises dépassant 500 m€ de CA, jusqu’à de 4% du chiffre d’affaire annuel.

sanctions RGPD

Le comité européen de la protection des données

Création d’un comité européen. Celui-ci fait figure d’autorité dans tout ce qui concerne l’interprétation de la réglementation.

Informations minimales

Lors d'un traitement un certain nombre d'informations à minima sont à donner :

... et selon les cas :