Plus que 2 mois pour être conforme au Règlement Général sur la Protection des Données (RGPD) !

Tout ce qu’il faut savoir au sujet du RGPD …

Une nouvelle règlementation entrera en vigueur le 25 mai 2018 !

 

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données a été mis en place par l’Union Européenne afin d’harmoniser et normaliser les différentes lois concernant la protection des données personnelles qui existent dans les pays de l’UE afin de remplacer la directive de 1995. Ces données personnelles regroupent les données sur les salariés mais également des clients et partenaires.

Ce RGPD contient 99 règlements, pour plus d’informations, cliquer ici.

 

Qui est concerné ?

Sont concernés par cette obligation : Toute entreprise – organisation – établissement public – association, quelle que soit sa taille. Dès que celle-ci détient, conserve, administre, utilise des données à caractère personnel.

A NOTER : Que vous ayez ou non un délégué à la protection des données dans votre entreprise, vous êtes dans l’obligation de tenir un registre.

 

Quels sont les avantages du registre des traitements des données personnelles ?

Cela va certes faciliter les contrôles effectués par la CNIL, mais on peut y voir des avantages tels que :

  • Pour les responsables et sous-traitants cela permettra d’appliquer de façon plus efficace les règles contenues dans le RGPD
  • Faire apparaître les anomalies de traitement face à la loi (catégories des données, caractères, destination des données, finalités)

 

Les 7 droits mis en avant ou renforcés par le RGPD :

  1. Transparence des informations
  2. Droit d’accès de la personne concernée sur ses données
  3. Droit de modification des données
  4. Droit à l’oublie
  5. Droit à la portabilité des données
  6. Droit à la régulation du traitement
  7. Droit de contestation

 

Les obligations pour les organismes :

  • L’organisme doit être en mesure d’afficher sa conformité
  • Les individus doivent valider la collecte et le traitement de leurs données et également être informés de leurs droits
  • Selon les missions du responsable de traitement, afin de pouvoir collecter et exploiter les données personnelles il a besoin d’un usage donné et légitime
  • Les entreprises ne peuvent conserver que les données strictement nécessaires au bon fonctionnement de leurs activités. Ajouté à cela, la durée de conservation des données qui est limitée à l’exécution du contrat
  • La gouvernance et la sécurité des données doivent être prises en compte avant même la conception des produits et/ou services. Concernant la sécurité celle-ci doit être activée par défaut et non optionnelle.
  • Désigner un « data protection officer » (DPO) pour les entreprises qui exploitent à grande échelle les données à caractère personnel. Ce DPO est obligatoire dans le secteur public.

 

Que doit contenir le registre ? (liste exhaustive)

  • Le nom du responsable du traitement, son représentant, ou le nom du délégué à la protection des données (DPO)
  • Les objectifs du traitement des données
  • Les catégories des données traitées
  • Les personnes ayant un droit sur le traitement
  • Les destinataires des données
  • Les délais prévus de destruction des données
  • Les mesures de sécurité mises en place afin de protéger les données
  • Si l’entreprise exerce à l’international : les garanties de sécurité supplémentaires pour les cas de transfert de données

 

Quelques conseils :

Pour que vous soyez en parfaite conformité de ce registre, soyez méthodique !

  • Désigner un responsable de traitement ou une équipe qui sera chargé(e) de la tenue du registre
  • Choisir des moyens humains et financiers adaptés
  • Communiquer avec votre personnel dont le poste est concerné par ce registre
  • Faire un point sur les procédures liées à la protection des données personnelles
  • Définir et catégoriser les différents traitements
  • Connaître les données qui ont été transférées hors de l’Union Européenne
  • Procéder à une remontée régulière des informations
  • Réaliser une trame de registre pour indiquer la finalité des traitements ; un modèle élaboré par la CNIL est disponible, ici
  • Veiller de façon régulière au système de protection

A NOTER : Accentuez vos efforts avant le 25 mai sur les règles essentielles du RGPD c’est-à-dire sur les principes fondamentaux de la protection des données qui restent inchangés pour la majorité : loyauté du traitement, pertinence des données, durée de conservation, sécurité des données … Puis tendez vers les nouvelles obligations ou nouveaux droits du RGPD une fois les principes fondamentaux finis.

 

Une fois le 25 mai passé, toute infraction au RGPD sera punie de sanctions. Des amendes jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’organisme en cause. Sans compter que cela va également impacter votre image.