Loi informatique & liberté (2)
Le Règlement Général sur la Protection des Données
Après avoir identifié les acteurs principaux de la loi Informatique et Liberté, Créforma Plus s’intéresse aujourd’hui de plus près à l’un d’entre eux : le Règlement Général sur la Protection des Données. Plus communément appelé RGPD, cette nouvelle loi européenne vise essentiellement à informer et à protéger les utilisateurs européens sur l’utilisation de leurs données personnelles. Texte de référence en la matière, le RGPD est applicable dans tous les États-membres depuis le 25 mai 2018. Les entreprises, associations et administrations qui collectent et/ou analysent des données personnelles doivent ainsi se conformer à la loi. Quelles sont leurs obligations ? Comment respecter le traitement des données collectées ? Le point sur les grands changements qu’apporte le règlement.
Quelles sont les nouveautés introduites par le RGPD ?
Tout d’abord, il convient de rappeler que les organisations concernées par le RGPD ont un rôle majeur dans l’exploitation de données personnelles : si elles sont responsables de leur traitement, elles sont également responsables de leur protection. De fait, elles doivent aussi justifier de leurs actions et utiliser des outils conformes à la nouvelle réglementation.
- L’obligation d’information est renforcée par le RGPD. Elle oblige les organisations à fournir une information concise, transparente, compréhensible et aisément accessible aux internautes.
- Avec l’article 30, le règlement impose la tenue d’un registre des traitements de données. Ce registre doit pouvoir être consulté par la CNIL à n’importe quel moment.
À noter : 2 autres registres existent déjà en plus de celui-ci : le registre sous-traitant et le registre des incidents de sécurité.
- Les sous-traitants, aussi concernés ! La nouvelle loi du RGPD implique désormais les sous-traitants et les met au même niveau de responsabilité que les entreprises en cas de problème (fuite de données par exemple).
- Le responsable de données a désormais l’obligation de procéder à une analyse d’impact relative, mise en place lorsque le traitement des données est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes concernées.
- La pertinence des données collectées doit être justifiée par l’organisation collectrice. Les ressources humaines (Système d’Information Ressources Humaines (SIRH), logiciel de paie..) ou encore le service communication d’une entreprise (diffusion de newsletter) sont plus particulièrement concernés.
- Les entreprises doivent assurer les services d’un DPO (data protection officer), indépendant du responsable du traitement des données et garant de l’application du règlement.
Comment s’y prendre ?
Si les nouvelles mesures apportées par le RGPD sont nombreuses, la CNIL met en place un grand nombre d’outils afin d’accompagner les entreprises dans le respect du règlement :
Modèle de registre des traitements
Guide des bonnes pratiques informatiques
Guide sur la sécurité des données personnelles
Quelles pénalités en cas de non-respect du règlement ?
Bien qu’elles aient avant tout un rôle dissuasif, les pénalités prévues par la CNIL en cas de non-respect du règlement sont particulièrement élevées ! Il existe deux niveaux de sanctions différenciés par la durée, la nature et la gravité de la violation.
En cas de manquement aux obligations auxquelles elles sont soumises, les organisations peuvent être soumises à une amende de 10 millions d’euros, soit 2% du chiffre d’affaire mondial.
Pour des infractions plus graves, l’amende est doublée passant ainsi à 20 millions d’euros.
Pour aller plus loin…
Comprendre le RGPD en cinq questions
Qu’est-ce qu’une donnée personnelle ?
En informatique, une donnée personnelle est une information qui se rapportant à une personne physique identifiée ou identifiable. Ce peut être un nom, un prénom, une donnée de géolocalisation, une opinion politique, une orientation sexuelle, des préférences alimentaires, etc.
Quelles sont les organisations concernées ?
Toutes les entreprises, les associations, les organismes ou les administrations qui traitent les données personnelles des citoyens européens (clients, prospects, usagers, employés, citoyens…).
Il est obligatoire dans les organismes publics et les organisations avec des activités nécessitant la surveillance à grande échelle des personnes (compagnies d’assurance, banques), organisations traitant des données sensibles (sites de rencontres, hopîtaux).
Liens utiles :
Le Règlement Général sur la Protection des Données (RGPD), mode d’emploi