EMI | Le RGPD

Retour à la page d'accueil

logo RGPD Le Règlement Général de la Protection des données (RGPD ou RGPD en anglais) est applicable depuis mai 2018. Il organise et encadre désormais toute collecte de données personnelles et constitue le texte de référence en la matière.

Les principaux objectifs du RGPD sont d'accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l'augmentation du pouvoir des autorités de régulation et des sanctions qui peuvent atteindre 4% du chiffre d'affaires mondial d'une entreprise. Sont ici visées les GAFAM et autres collecteurs de données en masse.

Mais sa mise en œuvre n'est pas si simple. Règlement ou règlementation ?

| Difficulté |
DYS DYS
Voir également modules

GPDR ou RPGD ?

La quoi ?

logo RGPD UELa GDPR (General Data Protection Regulation, en français le RGPD : Règlement Général sur la Protection des Données) est l’acronyme de la nouvelle réglementation européenne qui concerne la protection des personnes physiques vis-à-vis du traitement des données à caractère personnel ainsi que la libre circulation de celles-ci.

Ce règlement européen, publié le 4 mai 2016, est applicable et obligatoire dans l’ensemble des États membres de l’Union Européenne depuis le 25 mai 2018.

Absolument toutes les entreprises qui récoltent et traitent les données de personnes physiques situées sur le territoire de l’Union Européenne sont concernées. Et ce, sans tenir compte du lieu de traitement de ces données. Les sous-traitants sont également concernés par la réglementation.

Du nouveau ?

Traitement automatisés des informations nominatives

La délibération n° 99-27 du 22 avril 1999 précisait déjà les modalités d'accès et de stockage des informations de prêts en bibliothèques

Article 4.
Les informations relatives à l’identité des emprunteurs sont conservés tant qu’il continue à participer au service de prêt. La radiation peut être demandée par l’emprunteur lui-même.Lorsque celle-ci n’est pas demandé par l’emprunteur, elle doit intervenir d’office et dans tous les cas l’issue d’un délai d’un an à compter de la date de fin de prêt précédent.
Les informations concernant chaque prêt sont conservées jusqu’à la fin du quatrième mois suivant la restitution de l’objet de prêt. Au-delà de ce délai, les informations sur support magnétique sont détruites. Elles ne peuvent être conservé sur support papier que pour les besoins de la durée d’un contentieux éventuel.
S'agissant des documents d’archives, les informations relatives aux consultations sont conservés jusqu’au prochain récollement –inventaire- et dans la limite d’une durée maximum de 10 ans

Article 5.
Peuvent seuls, dans les limites de leurs attributions respectives, être destinataire des informations :

  • les services chargés de la gestion des prêts ou des consultations de documents d’archives ;
  • leurs agents habilités pour les tâches comptables administrative ou des contentieux ;
  • les supérieurs hiérarchiques de ces personnels et les services d’inspection

Même si les principes de base de la réglementation initiale persistent, de nouveaux éléments font leur apparition.

Une réglementation unique

En plus de s’appliquer à tous les états membres de l’Union Européenne, la réglementation passe les frontières de l’Europe. Les entreprises établies en dehors de l’Union Européenne qui traitent des données relatives aux organisations et/ou aux résidents doivent également appliquer le GRPD.

L’individu reprend le contrôle de ses données personnelles

Par le biais de cette réforme, les individus bénéficient de 3 droits majeurs sur leurs données personnelles :

1. Le droit d'accéder à ses données

Chacun a le droit de savoir si ses données sont analysées, où elles le sont et pourquoi elles le sont (finalité poursuivie). De plus, le responsable du traitement est tenu de fournir une copie des données, gratuitement, dans un format électronique.

2.Le droit à l'oubli

Chacun peut exiger que ses données soient supprimées mais aussi, à ce qu’elles ne soient plus diffusées et traitées. Cette demande pouvant être justifiée par le simple fait que l’on retire son consentement ou encore que les données soient obsolètes ou non-pertinentes.

3. Le droit à la portabilité des données

Chacun peut demander à recevoir l’ensemble de ses données personnelles dans un format informatique lisible par tous afin de les transmettre à un autre responsable de traitement. Par exemple : Le transfert de données personnelles lors d’un changement de banque, de réseau social, d’opérateur téléphonique, de commerçant…

Un niveau de sécurité renforcé

Et cela en amont de la récupération.

Cette notion impose aux organisations de répondre à certaines exigences relatives à la protection des données personnelles et ce, dès la conception des produits, services et systèmes exploitant ces données.

Quant à cette notion, elle impose à toute organisation de disposer d’un système d’information sécurisé.

Notification en cas de fuite de données

L’autorité nationale de protection (en France la https://www.cnil.fr/ ) CNIL) doit être avertie en cas de fuite grave de données.

image lienFiche CNIL

image lienFormulaire de notification

Nomination d’un délégué à la protection des données

Un délégué à la protection des données (DPO) est nommé au sein des organismes publics ou privés dont les activités de base nécessitent un suivi régulier et systématique à grande échelles des personnes.

De lourdes sanctions pour les fraudeurs

Toutes les entreprises ou organismes qui ne respectent pas les règles de la GRPD s’exposent à des sanctions pouvant aller du simple avertissement à l’amende jusqu’à 20 000 000€ ou, pour les entreprises dépassant 500 m€ de CA, jusqu’à de 4% du chiffre d’affaire annuel.

sanctions RGPD

Le comité européen de la protection des données

Création d’un comité européen. Celui-ci fait figure d’autorité dans tout ce qui concerne l’interprétation de la réglementation.

image lienhttps://edpb.europa.eu/edpb_fr

Informations minimales

Lors d'un traitement un certain nombre d'informations à minima sont à donner :

... et selon les cas :

Aides et outils

RGPD 4 étapes

Un guide à destination des tous, enseignants, élèves, personnels est disponible en téléchargement.

télécharger le fichier

Des fiches (très) pratiques sur le Règlement Général pour la Protection des Données, à destination des chercheurs (mais pas que) réalisées par l'Université Paris Lumières.

télécharger le fichier

Une infographie réalisée par le MEN : 10 principes clés pour protéger les données de vos élèves.

Infographie. 10 principes clés pour protéger les données de vos élèves

image lien source : https://www.education.gouv.fr/

Quelques ressources enseignant

La protection des données personnelles à l’École

Comment aborder, lors des réunions de rentrée, la question de la protection des données personnelles avec les parents, tant sur le suivi administratif et pédagogique de l’élève que par celui de l’éducation aux médias et à l’information (EMI).

image lien https://mallettedesparents.education.gouv.fr/...

Modèles d'autorisation d'enregistrement image/voix

Télécharger les modèles d'autorisation d'enregistrement et d'utilisation de l'image/de la voix :

image lien https://eduscol.education.fr/cid149770/protection-des-donnees-personnelles.html

Sensibiliser à l'usage des écrans et du numérique

Face à la multitude de messages et de sollicitations, aborder la place des écrans et du numérique dans les différents environnements de la vie des jeunes permet de bien situer le rôle éducatif des adultes.

image lien https://mallettedesparents.education.gouv.fr/...

Le référentiel CNIL de formation des élèves à la protection des données personnelles

Ce référentiel, initié par la CNIL, a été adopté au plan international par l'ensemble des autorités de protection des données en octobre 2016. Il a vocation à être utilisé dans le cadre des programmes scolaires quelle que soit la discipline enseignée.

approche papillons
compétence

image lien https://eduscol.education.fr/...

Pour aller plus loin !

Un site proposant le texte du Règlement, le texte correspondant de (l'ancienne) Directive, le texte correspondant de la loi française, le texte correspondant de la loi belge, le(s) considérant(s) pertinents du règlement, les versions intermédiaires du règlement.

image lien https://www.gdpr-expert.eu/#articles

Le texte du RGPD au complet

image lien https://eur-lex.europa.eu/

Une FAQ proposée par la DANE de Lyon

image lien https://dane.ac-lyon.fr/

RGPD expliqué en emojis

Le texte en dataviz par la CNIL

Un MOOC

Le MOOC de la CNIL. Vous y trouverez l’ensemble des informations pour vous initier au RGPD et débuter ainsi la mise en conformité de votre organisme.

image lien https://atelier-rgpd.cnil.fr/

Académie de Créteil. Un guide

Le plan académique de mise en œuvre du RGPD a pour objectif de répondre à ces enjeux en mettant en place une organisation et un programme à même d’étudier l’impact du RGPD dans les différents domaines de l’activité administrative et pédagogique et d’y apporter des solutions.

image lien https://adn.ac-creteil.fr/images/pdf/RGPD/LIVRET-RGPD.pdf

Le registre des activités de traitement

Qu'est-ce ?

Le registre est prévu par l’article 30 du RGPD (voir encadré). Il participe à la documentation de la conformité au RGPD.

Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :

Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD, le registre est un outil de pilotage et de démonstration de votre conformité au RGPD

Ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ? Est-il pertinent de conserver toutes les données aussi longtemps ? Les données sont-elles suffisamment protégées ? Etc.

image liensource : https://www.cnil.fr/

Article 30 - Registre des activités de traitement

Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes :

a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
b) les finalités du traitement ;
c) une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées ;
f) dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données ;
g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement, comprenant:

a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données ;
recherche b) les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées ;
d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique. Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l'autorité de contrôle sur demande. Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données visées à l'article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.

Cartographier vos traitements de données personnelles

Le registre du responsable de traitement doit recenser l’ensemble des traitements mis en œuvre par votre organisme.

Dans un premier temps il s'agit donc d'identifier et de rencontrer les responsables opérationnels des différents services susceptibles de traiter des données personnelles.

Est considéré comme traitement toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Autrement dit le champ est très large et ne concerne pas que le numérique mais aussi les différentes conventions, les réutilisations d'extractions de données etc.

Pour ce faire un document recensant les informations essentielles pourra être utilisé. Vous pouvez par exemple renseigner le formulaire ci-dessous et l'envoyer à l'adresse de votre choix.

Attention ! Il s'agit d'identifier les finalités et pas les logiciels. Un même logiciel peut faire l'objet de plusieurs fiches dans le registre. Pour cela, lister les différentes activités nécessitant le traitement de données personnelles.

Pour établir la liste des traitements opérés dans votre établissement, vous pouvez recourir au questionnaire quintilien... (clic sur les boutons pour plus d'infos)

Pour les exemples présentés ici, les applications métiers sont connues depuis près de trente ans et les finalités clairement définies dans deux documents fournis par CANOPE.

La sécurité des données

Quelques enjeux en matière de sécurité

Dans la peau d'un expert en CYBERSÉCURITÉ. Rencontre d'experts en cybersécurité qui répondent aux questions des abonnés, parlent de leur métier, de leurs difficultés et des principaux risques à l'échelle nationale!

Guide de sécurité (CNIL)

La sécurité des données personnelles est un volet essentiel de la conformité à la loi informatique et libertés. Les obligations se renforcent avec le règlement général sur la protection des données (RGPD). Ce guide rappelle les précautions élémentaires à mettre en œuvre de façon systématique.

Le règlement européen européen dispose dans son article 32 que : "le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque".

télécharger le guide