De son nom complet, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données poursuit un double objectif :
– Accroître la protection des personnes concernées par un traitement de leurs données à caractère personnel ;
– Mieux responsabiliser les acteurs de ce type de traitement.
L’ensemble des dispositions du Règlement est l’applicable aux 27 Etats membres depuis le 25 mai 2018. Le droit de toute personne à la protection des données à caractère personnel la concernant qui découle du Règlement constitue un droit fondamental reconnu par la Charte des droits fondamentaux de l’Union européenne et le Traité sur le fonctionnement de l’Union européenne.
En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité régulatrice chargée de protéger les particuliers et d’accompagner les professionnels dans leur mise en conformité au Règlement. Elle dispose d’un pouvoir contrôler les organismes et de les sanctionner. Les régulateurs peuvent ainsi infliger des sanctions financières allant jusqu’à 4 % du chiffre d’affaires mondial annuel d’une entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu), en cas de non-respect.
LES CINQ GRANDS PRINCIPES DES REGLES DE PROTECTION DES DONNEES PERSONNELLES
- Le principe de finalité : le responsable d’un fichier ne peut enregistrer et utiliser des informations sur des personnes physiques que dans un but bien précis, légal et légitime ;
- Le principe de proportionnalité et de pertinence : les informations enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier ;
- Le principe d’une durée de conservation limitée : il n’est pas possible de conserver des informations sur des personnes physiques dans un fichier pour une durée indéfinie. Une durée de conservation précise doit être fixée, en fonction du type d’information enregistrée et de la finalité du fichier ;
- Le principe de sécurité et de confidentialité : le responsable du fichier doit garantir la sécurité et la confidentialité des informations qu’il détient. Il doit en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations ;
- Les droits des personnes : les personnes dont on traite les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.Il convient de leur donner les moyens d’exercer effectivement leurs droits : un formulaire de contact spécifique si l’on dispose d’un site web, un numéro de téléphone ou une adresse de messagerie dédiée. Lorsque l’on propose un compte en ligne, les clients doivent disposer de la possibilité d’exercer leurs droits à partir de leur compte.
SIX ETAPES POUR SE PREPARER
- ETAPE 1 : DESIGNER UN PILOTE
le Délégué à la protection des données. Toutes les entités n’ont pas l’obligation d’en nommer un auprès de la CNIL, mais il est recommandé à toutes de choisir un référent à la protection des données
- ETAPE 2 : CARTOGRAPHIER
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.
- ETAPE 3 : PRIORISER
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
- ETAPE 4 GERER LES RISQUES
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact relative à la protection des données (AIPD)
- ETAPE 5 : ORGANISER LES PROCESSUS INTERNES
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire)
- ETAPE 6 : DOCUMENTER LA CONFORMITE
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Pour aller plus loin
La Cnil propose beaucoup de documentation sur son site ainsi que des exemples à suivre: https://www.cnil.fr/fr/rgpd-exemples-de-mentions-dinformation
Et, aussi, pour plonger sereinement dans le bain profond du RGPD, nous recommandons aux plus petites structures, publiques comme privées, de s’assurer que l’un de ses salariés et de ses agents puisse suivre une formation de DPO, par exemple, financée par le CPF.