Le RGPD en 5 questions

Publié par Anne Le Landais le

Le RGPD (Règlement Général sur la Protection des Données) a été un gros sujet de l’année 2018. Dans cet article, nous avons souhaité apporter les réponses à des questions que nous nous sommes tous posées et que nous nous posons peut-être encore.

 

Qui est concerné par le RGPD ?

Tout résidant de l’UE peut faire valoir ses droits relatifs au RGPD.

Une organisation (collectivité, entreprise et association) dans l’UE ou hors UE, qui détient des données personnelles au sujet de résidants de l’UE est soumise au RGPD.

 

 

Que faut-il mettre en place pour être conforme au RGPD ?

5 principes sont à mettre en œuvre :

  • L’Accountability (Responsabilisation) : c’est à vous, organisation, de prendre toutes les mesures pour garantir la conformité au RGPD. Vous devez aussi être capable de démontrer que vous avez bien rempli vos obligations en termes de protection des données.
  • Le Privacy by Design : la protection des données doit être prise en compte dès la conception du produit ou du service dans le SI, au sein d’une base de données, ou lors de la conception d’une application.
  • Security by Default : la sécurité dans le SI est renforcée et doit être sécurisé à ses différents niveaux, avec des contrôles d’accès ou un système de prévention contre les failles de sécurité. Votre organisation doit être en mesure de déceler si l’intégrité de son SI a été compromise et pouvoir y remédier le cas échéant.
  • Nommer un DPO (obligatoire pour toute structure publique) : le Délégué à la Protection des Données est associé aux différentes questions et problématiques des données à caractère personnel de l’organisation. Il veille à la conformité au RGPD. Il est aussi le point de contact avec les autorités de contrôle.
  • L’étude d’impact : il est important de réaliser cette étude de l’impact sur la protection des données personnelle avant la mise en œuvre de nouveaux traitements de données qui pourraient potentiellement présenter des risques d’atteinte aux droits et aux libertés individuelles. L’étude devra aussi prévoir les mesures pour diminuer l’impact des dommages potentiels à la protection des données personnelles.

Concrètement, des actions sont à mettre en place pour devenir conforme RGPD :

Les actions à court terme :

  • Informer vos clients / utilisateurs / prospects de la finalité de la collecte de données (auteur de la collecte, durée de la conservation, finalité, information sur les droits).
  • Mettre en place un formulaire de contact pour que ceux qui le souhaitent puissent accéder à l’ensemble des données les concernant.
  • Demander l’accord des personnes et leur donner la possibilité de le retirer.
  • Mettre en place des mesures de sécurité (mesures adaptées à la sensibilité des données).

Les actions sur le long terme :

  • Analyser vos Système d’Information / fichiers / documents qui contiennent des données personnelles.
  • Élaborer un registre des traitements (développé ci-dessous).
  • Revoir les clauses de confidentialité dans les contrats avec vos sous-traitants.
  • Notifier la CNIL des violations de données dont vous êtes victime.
  • Réaliser une étude d’impact pour certains cas spécifiques (traitement de données sensibles). Elle permet d’anticiper et de traiter des risques pour les droits et libertés des personnes.

Qu’est-ce que le registre ?

Chaque responsable de traitement doit constituer, regrouper, actualiser régulièrement un certain nombre de documents.

Dans ce dossier documentaire figurent la description des procédures et des moyens adoptés pour la sécurité des traitements, les procédures internes en cas de violation des données, les informations sur le DPO, les mentions d’information aux personnes concernées, le modèle de recueil du consentement et les procédures mises en place pour l’exercice des droits.

Le registre doit mentionner les objectifs des traitements, l’inventaire des traitements, la durée de conservation, les obligations légales.

Quid de la collecte des données.

Des informations sont à fournir lorsque vous collectez des données :

  • L’identité et coordonnées du responsable du traitement
  • S’il y a, les coordonnées du DPO
  • La finalité du traitement auquel sont destinées les données
  • Les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers
  • Les destinataires des données, s’ils existent
  • Le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données vers un pays tiers ou une organisation internationale
  • Durée de conservation des données
  • L’existence du droit de demander au responsable du traitement l’accès aux données, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité
  • L’existence du droit de retirer son consentement à tout moment
  • Le droit d’introduire une réclamation auprès d’une autorité de contrôle

 

Que peut demander un individu ?

Un individu a le droit de demander l’accès à ses données, leur rectification ou effacement, une limitation ou opposition à leur traitement, il peut aussi faire valoir le droit à la portabilité et droit à l’oubli.

Il a également le droit d’introduire une réclamation auprès d’une autorité de contrôle.

 

Que doit fournir un organisme à qui on a formulé une demande liée aux données personnelles ?

Vous avez le devoir de transmettre les données dans un format structuré, couramment utilisé et lisible par machine. Le RGPD impose que les données soient communiquées sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

L’information doit être fournie gratuitement mais vous avez le droit de facturer un prix raisonnable, en cas de demande infondée, excessive ou répétitive.

Il est également possible de ne pas se conformer si la demande est infondée, excessive ou répétitive. Dans ce cas, il faut le justifier auprès de la personne concernée et l’informer de son droit de faire appel auprès de l’autorité de contrôle.

En cas de rectification ou d’effacement de données ou de limitation de traitement, la notification est obligatoire. Vous devez notifier chaque destinataire auquel les données ont été communiquées et devez fournir à la personne concernée les informations sur ces destinataires si elle en fait la demande.

Dans le cas du droit à l’oubli, vous devez fournir la preuve que cela a été fait.

 

Quels sont les délais à respecter ?

La demande doit être honorée dans un délai d’un mois maximum à compter de la réception de la demande.

Lors de demandes compliquées et nombreuses, il est possible de prolonger le délai à 3 mois. Cependant, il vous faut d’abord répondre sous un mois et expliquer le délai supplémentaire.

L’application du RGPD peut paraître subjectives dans ses actions, on ne sait pas par quoi commencer, comment concrétiser dans la réalité ce que nous demandent les textes de lois. Avec les réponses apportées à ces questions, vous devriez maintenant voir se dessiner une ligne directrice.

 

Anne, Responsable Marketing chez Apsynet

 

Newsletter

Categories: RGPD

Publications similaires

Pseudonymisation
RGPD

La pseudonymisation

La pseudonymisation : la loi « Informatique et Libertés » impose au responsable de traitement de prendre toutes les précautions pour garantir la protection des données placées sous sa responsabilité, en mettant un point d’honneur Lire la suite…

Data Protection Officer
RGPD

Le DPO : qui est-il, que fait-il ?

La création d’un poste de DPO (Data Protection Officer) est rendue obligatoire par la réglementation de le RGPD. Cela concerne les organismes publics et les entreprises dont l’activité de base est alimentée par le traitement Lire la suite…

big data
Développement & Web

Focus : c’est quoi le Big Data ?

Si vous entendez les termes “capture, recherche, partage, stockage, analyse et présentation des données”… À quoi cela vous ramène-t-il ? C’est ainsi que se résume un phénomène, apparu en 1997 ; ce concept a été nommé Lire la suite…