RGPD-–-25-mai-2018

Quel est le but du RGPD ?

La finalité d’un tel règlement est de protéger les citoyens européens contre les utilisations malveillantes de leurs données à caractère personnel.

La responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de démontrer cette protection en documentant leur conformité.

Quelle est la définition des données personnelles ?

Les données à caractère personnel sont définies comme toutes informations se rapportant à une personne physique identifiée ou identifiable ; est réputée être identifiable une personne physique qui peut être identifiée directement ou indirectement notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Ainsi des identifiants comme une adresse IP et une adresse MAC sont susceptibles d’identifier au moins indirectement une personne physique.

Quels sont les territoires concernés par le RGPD ?

Au vu des critères territoriaux particulièrement larges du RGPD, le champ d’application de celui-ci couvre la quasi-totalité des traitements réalisés par des acteurs situé dans l’Union européenne ou qui sont relatifs à des personnes situées sur ce territoire.

Quelles sont les nouvelles obligations pour les organismes traitant des données personnelles ?

Il s’agit d’une directive européenne qui oblige toutes les entreprises et les administrations, à respecter certaines règles concernant le traitement des données à caractère personnel.

Le 25 mai 2018, toutes les entreprises qui gèrent des traitements de données à caractère personnel seront dans l’obligation d’être en conformité avec le RGPD.

Le RGPD s’applique d’une part au traitement automatisé de données à caractère personnel et d’autre part au traitement non-automatisé de ce type de données lorsqu’elles sont contenues ou appelées à figurer dans un fichier.

Pour être en conformité, on parle de licéité du traitement des données. Quelles sont les conditions ?

Pour être licite tout traitement doit être :

  • soit nécessaire
    • à la sauvegarde de la vie des intérêts vitaux de la personne concernée
    • au respect d’une obligation légale incombant au responsable de traitement
    • à l’exécution d’une mission de service public, d’une mission d’intérêt public relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement
    • à l’exécution soit d’un contrat auquel la personne concernée est partie soit de mesure précontractuelle prise à la demande de celle-ci,
    • à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire ou par un tiers et sous réserve de préserver l’intérêt où les droits et libertés fondamentaux de la personne concernée
  • soit avoir reçu le consentement préalable de la personne concernée.

Quels sont les principaux impacts de ce nouveau texte ?

Les obligations pour les organismes sont les suivantes :

  1. désigner un délégué à la protection des données pour certains organismes, afin de contrôler la conformité à la réglementation en matière de protection de données
  2. tenir un registre des activités de traitement lorsqu’ils comptent plus de 250 employés ou bien qu’ils réalisent certains types de traitements
  3. mettre en place des procédures internes permettant d’assurer la protection des données dès la conception des traitements
  4. faire des analyses d’impact préalablement à la mise en œuvre de certains traitements
  5. mettre à jour les mentions d’informations ainsi que les modalités de recueil du consentement pour les traitements soumis à consentement.
  6. mettre en place un dispositif de notification CNIL en cas d’une violation de données engendrant un risque pour les droits et libertés des personnes physiques, notification qui devra être étendue à l’ensemble de celles-ci si ce risque est élevé
  7. établir des contrats écrits avec les sous-traitants et avec les responsables conjoints de traitement répartissant clairement les rôles et responsabilités de chacun.

Quels sont les organismes concernés par le délégué à la protection des données ?

Le délégué à la protection des données (responsable de traitement ou sous-traitant) doit être désigné dans les organismes suivants :

  • qui sont des « autorisations publiques ou organismes publics, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle »  (y compris les organismes de droit privé en charge d’une mission d’intérêt public ou exerçant des prérogatives de puissance publique)
  • dont les activités de base consiste « en des opérations de traitement qui, du fait de leur nature, leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées »
  • dont les activités de base consistent en un traitement à grande échelle, de catégories de données sensibles ou de données relatives à des infractions ou condamnations.

Quels sont les organismes concernés par le registre des traitements ?

Le registre des traitements s’impose à tous les organismes quel que soit leur qualité (responsable de traitement ou sous-traitant), toutefois pour tenir compte de la situation particulière des micro, petites, et moyennes entreprises le RGPD prévoit une dérogation pour les organismes comptant moins de 250 employés sauf : si des traitements qu’il réalise sont susceptibles de comporter un risque pour les droits et libertés des personnes concernées, s’ils ne sont pas occasionnel où s’il portent notamment sur les catégories particulières de données visés à l’article 9 paragraphe 1 (ceux qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, le traitement des données génétiques, des données biométriques, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique), sur des données relatives à des condamnations pénales et à des infractions visées à l’article 10.

Quels sont les organismes concernés par l’analyse d’impact ?

L’analyse d’impact s’impose aux traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Quelles nouvelles dispositions pour les sous-traitants ?

La relation de sous-traitance se voit imposer un formalisme contractuel ; à défaut, de lourdes sanctions pèsent sur chacune des parties.

En outre les sous-traitants peuvent également être responsable conjoint de traitement, ou même en l’absence d’une telle qualification encourir un risque de responsabilité solidaire avec le responsable de traitement.

Quelles sont les sanctions en cas de non-respect des dispositions du RGPD ?

Le RGPD ajoute deux amendes administratives dont le montant varie selon les situations, soit :

  • le plus élevé des 2 montants entre 10.000.000 € et 2 % du CA annuel mondial total de l’exercice précédent
  • le plus élevé des deux montants entre 20 millions d’euros et 4 % du chiffre d’affaires mondial total de l’exercice précédent

Le RGPD impose donc la mise en place de procédures complexes mais impératives.

Nous vous accompagnons dans la mise en conformité. Contactez-nous !

CategoryNews