Le RGPD, c'est quoi ? Ce qu'il faut savoir

RGPD : les changements suite à la mise en place 

Le RGPD est le Règlement Général pour la Protection des Données à caractère personnel (ou GDPR pour "General Data Protection Regulation") adopté par le Parlement Européen, et applicable à l'ensemble des membres de l'UE, sans transposition locale, à partir du 25 mai 2018.

Une des limites de la loi Informatique et Libertés précédente est qu'elle s'appliquait aux entreprises qui sont établies en France ou qui ont recours à des moyens de traitement en France. Le RGPD en revanche, s'applique beaucoup plus largement.

Pour ne pas être soumis au RGPD, il faut :

• N'avoir aucune entité en UE
• Et ne pas fournir un bien ou un service, même gratuitement à des personnes se trouvant en UE
• Et/Ou ne pas faire de profilage ou de suivi de comportement

Les précisions 

Un règlement applicable à l'UE sans transposition

La déclinaison par chaque Etat Membre n'est plus possible. Certaines dispositions devront cependant être précisées par chacun dans les lois nationales.

Un champ territorial étendu

Désormais une société́ établie en dehors de l'UE pourra être soumise au RGPD dès lors qu'elle offre des services ou des biens à des personnes concernées dans l'UE.

Davantage de responsabilités pour les sous-traitants

Désormais directement responsables de certaines dispositions, les sous-traitants pourront être sanctionnés par la CNIL et devront tenir un registre.

Plus de données sensibles

La définition des données sensibles est élargie : on ajoute les données génétiques et biométriques. Leur traitement est, en principe, interdit.

De nouveaux droits

Droit à la portabilité, à l'oubli, protection des mineurs, organiser le sort de ses données après sa mort, droit à la limitation.

Une ressource clé

Le Data Protection Officer. Obligatoire pour les autorités/organismes publics et pour les responsables de traitements réalisés "à grande échelle" et leurs sous-traitants.

Accountability, LE principe à appliquer

Le régime déclaratif auprès de la CNIL est terminé́. Désormais les entreprises devront être capables de fournir la documentation, justifier leurs choix, tracer les actions et prouver leur conformité.

Gestion par les risques

Via les Privacy Impact Assessments (PIA).
Les traitements susceptibles d'engendrer un risque élevé́ pour les droits et libertés d'une personne devront faire l'objet d'une analyse d'impact. Si l'analyse confirme le risque élevé́, la CNIL devra être consultée.

Il faut notifier les violations de sécurité

Le responsable de traitement devra notifier les violations de sécurité́ à la CNIL dans les 72h. En cas de risque élevé, il notifie aussi les personnes concernées. Le sous-traitant notifie le responsable de traitement dans les meilleurs délais.

Les sanctions sont plus lourdes

Une violation des obligations générales du responsable de traitement pourra couter 2% du CA annuel mondial d'une entreprise ou 10 millions d'euros (on retient le plus élevé́), en cas de non-respect d'une injonction, des principes de base d'un traitement, ou des transferts hors UE on "double la mise" (4% - 20 millions).

Se préparer au RGPD : les 6 étapes préconisées par la CNIL

1. Désigner un pilote

Pour piloter la gouvernance des données personnelles de votre structure, vous avez besoin d'un chef d'orchestre qui exerce une mission d'information, de conseil et de contrôle en interne : le Délégué à la Protection des Données, encore nommé le DPO (Data Protection Officer).

2. Cartographier vos traitements de données personnelles

Recensez de façon précise les traitements de données personnelles que vous mettez en œuvre.

3. Prioriser les actions à mener

Sur la base du registre des traitements, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir

4. Gérer les risques

Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devez mener, pour chacun de ces traitements, une analyse d'impact sur la protection des données.

5. Organiser les processus internes

Mettez en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l'ensemble des événements qui peuvent survenir au cours de la vie d'un traitement.

6. Documenter la conformité

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire.

Claranet, sous-traitant responsable

Les responsables de traitement doivent s'appuyer sur des sous-traitants présentant des garanties suffisantes en matière de conformité au RGPD. Il est important que l'ensemble de la chaîne de sous-traitance soit conforme pour qu'aucun maillon ne mette en défaut leur protection.

Nous assistons nos clients pour qu'ils puissent respecter leurs contraintes légales et règlementaires.

Claranet a les deux rôles :

• Sous-traitant pour les traitements que nos Clients nous confient dans le cadre de nos prestations d'hébergement et d'infogérance
• Responsable de traitement pour les traitements " de gestion interne " (RH, prospection, sécurisation des accès…)

Le rôle du sous-traitant a évolué

Avec le RGPD, le rôle du sous-traitant change, il pourra désormais être sanctionné par la CNIL et poursuivi par les personnes concernées.

Les principales mesures sont :

• La répartition des rôles et des responsabilités dans les contrats ou ses annexes,
• Les instructions documentées dans les livrables ou encore via des fiches " wiki ",
• Le traitement des demandes / incidents après création d'un ticket.

Il est important de formaliser, d'être transparent et de pouvoir prouver les actions réalisées.

Le lexique du RGPD

Pour mieux comprendre le règlement

Les données à caractère personnelle

Identifiants, nom, numéro d'identification, données de localisation et aussi données relatives à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale…

Les données professionnelles

Quand la loi parle de données personnelles, ce n'est pas par opposition à " professionnelles ". Votre adresse email professionnelle permet de vous identifier directement et de manière unique, c'est donc une donnée personnelle au sens de la loi " Informatique et Libertés ".

Les données publiques

La loi s'applique même pour les données " publiques ", par exemple, si vous avez posté des données personnelles sur un réseau social, cela n'autorise pas de facto la réutilisation par d'autres sites ou par des entreprises. Il faut que vous ayez été informés de la possible utilisation de vos données par des partenaires.

Les données anonymisées

La loi ne s'applique pas aux données anonymisées. Une donnée est anonymisée quand il n'est plus possible d'identifier la personne concernée par les données. Si on peut retrouver la personne concernée grâce à une table de correspondance ou en recoupant des informations, les données ne sont pas anonymisées. On parle alors de " pseudonymisation " et la loi s'applique.

Une donnée chiffrée (protégée par une solution de chiffrement) n'est pas anonymisée.

Les données fausses

La loi s'applique indépendamment de la véracité des informations personnelles détenues. Si un utilisateur renseigne de fausses informations dans un profil par exemple, ce sont quand même des données personnelles, car elles se rapportent à une personne physique.

Les données personnelles traitées dans le cadre d'une activité personnelle ou domestique

Si vous collectez des données personnelles dans le cadre d'une activité exclusivement personnelle ou domestique, la loi ne s'applique pas.

Le DPO

Déclarer un DPO auprès de la CNIL permet de désigner un point de contact privilégié avec les autorités. Mais attention, le DPO n'a pas de devoir de reporting, ni de dénonciation auprès de la CNIL. Il rapporte son activité au responsable de traitement, et lorsqu'il réalise des audits, ce sont des audits internes.