04 28 70 91 81
Qu’est-ce que le RGPD ?
La définition
du RGPD ?
Le Règlement général sur la protection des données (RGPD) a été adopté par le Parlement européen en 2016 et est entré en vigueur en 2018. Il érige un cadre légal de la protection des données à caractère personnel pour l’Europe. Toute entité amenée à manipuler des données à caractère personnel de résidents européens doit se conformer au Règlement. Son application dépasse les frontières de l’Europe : les responsables de traitement et sous-traitants étrangers, qui traitent des données personnelles en provenance de l’Union européenne (UE), doivent appliquer le RGPD même si les traitements se font hors UE.
Le texte renforce la protection des personnes dont les données sont collectées et les droits qu’elles peuvent exercer. Elles peuvent notamment accéder à leurs données collectées, décider par exemple de les rectifier ou de les effacer et solliciter leur portabilité. Le RGPD confère aux responsables du traitement de nombreuses obligations telle l’obligation de tenir un registre des traitements ou de notifier la CNIL en cas de violation de données. Ces obligations s’accompagnent d’une responsabilisation des acteurs de la donnée. Le responsable de traitements est garant de la conformité de ses activités et doit être à même de la démontrer.
Une donnée personnelle
et sa conservation
Avec l’utilisation des nouvelles technologies, les flux de données personnelles sont de plus en plus importants. Le RGPD vise à encadrer leur traitement dans le but de protéger la vie privée des personnes.
La notion de donnée correspond à une information dont on peut déduire un message. Par exemple “la température est de 30°C” est une information, on peut en déduire après réflexion “il fait chaud”.
En matière de protection de la vie privée, les données dites personnelles concernent quant à elles les informations qui se rapportent à des personnes physiques. Il s’agit évidemment des données nominatives ou de contact. Mais le périmètre des données personnelles est bien plus large. Prenez par exemple un historique d’achat sur un site en ligne, le vendeur peut utiliser ces informations dans le but de vous suggérer d’autres produits. Au cours de cette même opération, il prélèvera également vos informations telles que votre nom, prénom, adresse postale, adresse mail, numéro de téléphone, etc. Mais également vos habitudes d’achat, votre adresse IP, vos sites internet préférés etc.. Toutes ces informations constituent des données à caractère personnel.
Quelle que soit la typologie de donnée traitée, la CNIL retient un critère d’identification “directe” ou “indirecte” de la personne. Autrement dit, il s’agit d’une donnée personnelle dès lors que cette information permet de reconnaitre la personne physique dont elle émane que ce lien puisse être fait par l’utilisation d’une seule donnée ou l’agrégation de plusieurs informations
Le RGPD distingue également différentes catégories de données personnelles qui disposent, en fonction du risque d’atteinte aux droits et libertés des personnes, d’un degré de protection adapté. Ainsi, le traitement des données de santé est soumis à une protection plus accrue du fait de leur sensibilité. Il en est de même pour les données relatives à la race, l’opinion politique, religieuse ou syndicale mais également celles afférentes aux condamnations pénales.
Toujours dans la logique de protéger les intérêts des personnes physiques, le RGPD soumet le responsable du traitement à l’obligation de déterminer les durées de conservation de données qu’il traite. Il ne doit traiter que les données strictement nécessaires à son activité et proportionner leur durée de conservation à leur utilité. Pour chaque traitement, le responsable de traitement doit informer les personnes concernées de la durée de conservation applicable.
Les durées de conservation peuvent être soumises à des obligations légales spécifiques. Dans le cas où aucun texte ne prévoit de durée de conservation, elle doit être raisonnable et proportionnée à l’objectif poursuivi par le traitement de données.
Passé ces délais, les données doivent être supprimées de la base de données ou anonymisées. A défaut le responsable du traitement manque à son obligation de limiter l’étendue des données qu’il traite et ne respecte pas le principe de minimisation.
La conformité au RGPD n’est pas une certification validée à un instant T, mais un nouveau processus d’amélioration continue au sein de l’entreprise.
L’objectif d’un projet de mise en conformité au RGPD est d’atteindre un niveau de protection suffisant et adéquat compte tenu des risques. Et ce, afin de pouvoir démontrer à tout moment, notamment en cas d’incidents de sécurité, de plainte ou de contrôle, que toutes les mesures nécessaires ont été mises en œuvre pour parer à ces risques.
La conformité au RGPD est un nouveau processus interne au sein de l’entreprise qui évolue dans le temps, c’est pourquoi l’entreprise doit définir une méthode claire et la faire appliquer au sein de chaque service de son organisation. L’entreprise peut s’appuyer sur une solution logicielle pour mettre en place le processus de conformité.
La notion de traitement de données
personnelles et de registre de traitements
Le RGPD définit le traitement comme : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel ». Plus simplement un traitement de données c’est un ensemble d’opérations réalisées sur des données personnelles. Cette notion n’est pas évidente à appréhender car elle regroupe de très nombreuses possibilités.
Il faut considérer qu’un traitement de données existe à compter du moment où vous intervenez sur une ou plusieurs données personnelles.
· Collectez des données pour les regrouper dans un fichier, c’est un traitement,
· Supprimer des données d’un listing, encore un traitement,
· Structurer les données de vos clients dans un logiciel, toujours un traitement,
· Un fichier Excel des invités à un évènement, vous l’avez deviné c’est un traitement.
Un traitement de données peut aussi bien être informatique que papier. La pile de CV abandonnée dans un placard du service RH, c’est le résultat d’un traitement.
En application de l’article 30 du RGPD, les personnes qui réalisent des traitements de données ( en qualité de responsable de traitement mais également de sous-traitant) doivent tenir un registre des activités de traitement. C’est un document qui permet de recenser, décrire et d’analyser l’ensemble de vos traitements de données personnelles, pour en avoir une vue d’ensemble. Il doit être tenu par tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles. Les entreprises de moins de 250 salariés ne doivent recenser que :
- les traitements non occasionnels (exemple : gestion du personnel) ;
- les traitements susceptibles de comporter un risque pour les droits et libertés des personnes
- les traitements qui portent sur des données sensibles (exemple : données de santé, opinion religieuse, etc.).
En pratique les traitements qui relèvent de cette dérogation réservée aux plus petites structures sont assez rares et d’une manière générale dès lors que vous utilisez à titre professionnel des informations de résidents européens vous êtes concernés. Il s’agit du document pivot de votre conformité, sur lequel vous ne pouvez pas faire l’impasse et qui vous sera nécessairement demandé en cas de contrôle.
En fonction de votre qualité de sous-traitant ou de responsable de traitement, la liste d’informations obligatoires devant figurer au sein du registre varie. Néanmoins au-delà des mentions strictement obligatoires, tenir un registre c’est l’opportunité de recenser toutes les informations dont on a besoin pour s’assurer de la conformité de ses traitements. C’est la raison pour laquelle Mission RGPD propose dans son application registre des traitements un mode « avancé » qui vous aide à vous poser les bonnes questions et à passer en revue vos modalités de traitement et le respect de vos obligations.
Vérifiez et testez votre conformité gratuitement avec notre outil gratuit Diagnostic RGPD
Estimez votre score RGPD
Pour détecter les premières non-conformité en moins de 10 minutes. Il se peut que votre conformité ne soit pas complète ou obsolète. C’est la raison pour laquelle, nous mettons à disposition une fonctionnalité gratuite de Diagnostic RGPD pour vérifier votre conformité.
Étape 1 : Réalisez le diagnostic RGPD et complétez le questionnaire en ligne
Étape 2 : Détectez les premières non-conformité RGPD au sein de votre entreprise
Étape 3 : Téléchargez votre rapport de diagnostic RGPD, découvrez votre score RGPD.
Étape 4 : Suivez les recommandations présentés du rapport de diagnostic RGPD pour lancer votre mise en conformité facilement et rapidement.
