EN SAVOIR PLUS SUR LE RGPD

DEFINITION RGPD

Le Règlement général sur la protection des données (RGPD), ou « General Data Protection Regulation » (GDPR - règlement UR 2016 679), a été adopté par les institutions européennes le 27 avril 2016.

Ce texte modifie le cadre légal de la protection des personnes physiques à l’égard du traitement de leurs données personnelles

Un délai de deux ans a été accordé avant l’application du GDPR. De ce fait, il n’est applicable qu’à compter du 25 mai 2018. Ces deux années laissent le temps aux entreprises et aux organismes publics de se mettre en conformité, et aux Etats Membres d’adopter des mesures d’adaptation le cas échéant. 

Le nouveau cadre réglementaire constitue davantage un renforcement des dispositions existantes que leur refonte totale. Le RGPD a donc pour principal objectif une homogénéisation de la règlementation relative à la protection des données à caractère personnel. En pratique, le nouvel équilibre du RGPD se traduit par une responsabilisation accrue des acteurs au profit d’un renforcement des droits des personnes concernées.


LES ACTEURS DU RGPD

Il est important de définir les rôles de chacun dans le processus de traitement des données.

Le responsable de traitement ou responsable de processus est celui qui détermine la ou les finalités (voir plus haut) et qui détermine les modalités du processus RGPD.

Dans une entreprise importante, le responsable de processus devra être désigné sur différents critères. Chaque directeur de service mettant en œuvre un traitement pourra être désigné responsable (RSSI, DRH, DAF…).

Dans un PME/PMI, le responsable de processus sera par défaut le directeur de l’entreprise.

Il peut y avoir plusieurs responsables de processus : c’est la responsabilité conjointe. Il faut alors organiser les obligations de chacun. Ce sera le cas d’un groupe de sociétés souhaitant mutualiser un traitement.

Le sous-traitant est une entité externe en charge, par le biais d’un contrat, de la mise en œuvre du processus pour le compte d’un responsable de traitement, sur ses instructions et sous son autorité.

Le Data Protection Officer (DPO) ou Délégué à la Protection des Données (DPD) est la personne désignée, dans votre entreprise, externalisé ou mutualisé, qui veille à ce que votre entité respecte les obligations du RGPD.

SGS vous propose un consultant DPO. Voir l'offre



LES GRANDES NOTIONS ET PRINCIPES DU RGPD


Donnée à caractère personnel ou DCP – Article 4 RGPD

Une donnée à caractère personnel est une information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »).

Une « personne physique identifiable » est une personne physique qui peut être identifiée, directement ou indirectement.

Exemple : nom et prénom (identification directe), données de géolocalisation (identification indirecte).


Les données sensibles 

Une donnée sensible a un caractère hautement personnel : elle définit l’intime, la vie privée de la personne. Elle est donc particulièrement protégée.

Est une donnée sensible l’origine raciale, l’orientation sexuelle, les données de santé ou encore une empreinte digitale.


Violation de données personnelles 

Une violation de DCP est constituée par un incident ayant des conséquences pour les personnes concernées. Lorsque les données d’une entreprise sont « hackées », volées par un tiers, il y a violation de DCP.


Le consentement

Le consentement est l’expression de l’accord d’une personne quant à l’utilisation de ses données personnelles par un tiers dans un objectif précis.

A titre d’exemple, il y a consentement lors d’un achat en ligne quand la personne coche la case autorisant à utiliser ses données pour l’envoi de newsletter.


Traitement des données – Article 4 RGPD

Un traitement de données peut s’assimiler à un processus de fonctionnement utilisant de la donnée personnelle. Ce processus peut être manuel ou automatisé.


Fichier 

Un fichier peut être matériel (un dossier papier) ou numérique. Il correspond à un ensemble de données personnelles identifié et organisé.

Cela peut être représenté par une base de données comprenant des données à caractère personnel.


Finalité d’un traitement

La ou les finalités du traitement correspondent à l’objectif ou les objectifs poursuivis par le processus mis en œuvre. La finalité du traitement doit être déterminée selon les exigences légales.


La licéité (ou légalité) du traitement 

Le règlement pose des conditions et des critères pour que le traitement puisse être mis en œuvre.


Le DPIA (Data Privacy Impact Assessment) ou Etude d’impact sur la vie privée en Français

Le DPIA est un document issu d’une analyse des processus présentant des risques élevés. Il permet d’estimer la gravité des risques, les menaces et les impacts pour les personnes concernées si le risque se réalise. Il faut que les mesures pour y remédier soient identifiées.


Le registre de traitement

Le registre de traitement permet de faire l’inventaire des processus mis en œuvre dans votre entreprise en le détaillant. Il permet de répondre aux questions : qui (acteurs), quoi (données), pourquoi (finalité), où (lieux de mise en œuvre), jusqu’à quand (durée des données et du traitement), et comment (modalités de traitement) ?


Le principe d’accountability : la responsabilisation des acteurs 

Les acteurs du traitement, et plus particulièrement le responsable du processus doivent assurer de leur propre initiative et avec leurs propres moyens la conformité avec le règlement. Ils doivent être en mesure de pouvoir prouver à tout moment qu’ils en respectent les obligations.


Le privacy by design et le privacy by default

Privacy by Default : action de mettre à disposition des personnes concernées le moyen d’obtenir rapidement et facilement le plus haut niveau de protection possible.

Privacy by Design : action de créer un nouveau process ou traitement apportant les garanties de sécurité dès sa conception. Le privacy par design est applicable pour tout nouveau traitement ou pour chaque traitement dont la configuration ou le code peut être modifié.

Cette garantie peut être d’assurer la pseudonymisation des DCP.


Mise en conformité 

La mise en conformité implique pour votre entité d’adapter vos process afin de répondre aux obligations posées par le RGPD.

SGS vous aide à vous mettre en conformité en fonction de la taille de votre organisme. Découvrir l'offre sur mesure


LE DROIT DES PERSONNES


Le RGPD renforce des droits préexistants et consacre des droits qui s’étaient imposés à la pratique ou aux tribunaux et cours de justice.


Le droit à l’information

Le responsable de traitement doit fournir les informations relatives au traitement aux personnes concernées avant la collecte des données : qui le met en œuvre, qui est le DPO, pourquoi (finalités), pour qui (destinataires, transferts).


Le droit d’opposition, d’accès et de rectification

Le droit d’opposition est le droit pour toute personne dont les données sont collectées d’exprimer son refus au traitement de celles-ci.

Le droit d’accès permet à la personne concernée de demander au responsable de traitement de connaître les données collectées et traitées la concernant et de savoir les modalités du traitement (finalités, méthodes…).

Le droit de rectification des données correspond à la possibilité pour la personne concernée d’exiger que ses données soient rectifiées, complétées, mises à jour ou supprimées en partie ou dans leur totalité.


Le droit à l’oubli ou le droit à l’effacement

C’est le droit de demander au responsable de traitement à ce que soit effacées leurs données dans les plus brefs délais.

Le droit à la portabilité des données

La portabilité correspond au droit pour toute personne dont les données ont été collectées de recevoir lesdites données dans un format compréhensible, couramment utilisé, lisible par machine et de les transmettre à un ou plusieurs autres responsables de traitement. La transmission peut être effectuée directement entre responsables de traitement.

C’est par exemple ce qui est pratiqué depuis plusieurs années par les opérateurs de téléphonie.


LE CONTROLE


La CNIL 

Qui ? Autorité externe d’accompagnement et de contrôle des responsables de traitement, interlocutrice des personnes concernées.

Quoi ? Effectue des référentiels, des certifications, des guides pratiques, met à disposition un logiciel pour le DPIA.

Comment ? Elle peut être consultée, saisie par les personnes concernées, elle peut de sa propre initiative effectuer des contrôles sur pièce, sur place, sur audition ou en ligne (https://www.cnil.fr/fr/comment-se-passe-un-controle-de-la-cnil).

Sanctions ?  Refus de laisser la CNIL faire son contrôle, passible d’une amende de 15 000€ et d’un an d’emprisonnement.

En cas de non-conformité partielle, la CNIL peut prononcer de simples avertissements ou des mesures administratives (injonction de suspendre le traitement par exemple).

Pour les non conformités plus graves, amendes de 10 à 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.


Les CNIL européennes 

Le G29, qui réunit les autorités des autres pays européens, établit des lignes directrices sur les grandes notions et principes. Il convient de s’y conformer.


Le DPO (Data Protection Officer)

Egalement appelé DPD (Délégué à la Protection des Données, en français), il est le contrôleur interne de la conformité. Il veille au quotidien à ce que les processus soient conformes. Dans le cas contraire, il doit résorber les non conformités. C’est lui qui coopère avec la CNIL.

SGS vous propose une Formation DPO.


LE CHEMIN DE LA CONFORMITÉ


QUI SOMMES NOUS?

SGS est le leader mondial de l'inspection, de la certification, du contrôle et de l'analyse. Reconnue comme la référence en termes de qualité et d’intégrité, SGS emploie plus de 95 000 collaborateurs et exploite un réseau de plus de 2 400 bureaux et laboratoires à travers plus de 140 pays. SGS France s’attache à porter haut les valeurs et l’offre du groupe. Après plus de 130 ans de développement, le Groupe SGS France compte aujourd’hui 2 900 personnes réparties dans plus de 120 bureaux et centres de contrôles, et 34 laboratoires. Ses services se déclinent tout au long des chaînes d’approvisionnement et concernent de nombreux secteurs tels que les produits agricoles et agro-alimentaires, la pharmacie, la cosmétique, les biens de consommation, l’énergie, la chimie, l’environnement, les services industriels… Par ailleurs en France, avec les réseaux SECURITEST et AUTO SECURITE, SGS est le n°1 du contrôle technique automobile, avec près de 2000 centres de contrôle.

Pour en savoir plus sur l’offre SGS www.sgsgroup.fr