La mise en place de certaines lois devient impérative face à l’évolution incessante de la technologie. Cela permet de limiter son utilisation à des fins désastreuses. Pour aider les particuliers à maîtriser leurs données personnelles, l’Union européenne a créé la CNIL ou Commission nationale de l’informatique et des libertés. Elle a pour mission d’accompagner les entreprises dans leur mise en conformité au RGPD ou Règlement général de la protection des données, un questionnaire rgpd est mis en place. Comment vont-elles procéder ?

Qu’est-ce que le RGPD ?

Le RGPD ou Règlement général de la protection des données est un nouveau règlement européen qui encadre strictement le traitement des données personnelles dans tous les pays de l’Europe. Il s’agit d’un texte de référence pour les européens en matière de protection de données à caractère personnel (DCP). Pour cerner les enjeux clés de ce règlement, chaque entité traitant des DCP doit s’y conformer et suivre ce lien pour répondre au questionnaire rgpd.

Qu’est-ce qu’une donnée personnelle ?

Une donnée à caractère personnel (DCP) indique toute information relative à une personne physique identifiée et reconnaissable. Cette identification peut être directe (nom et prénoms, …) ou indirecte (photo, numéro de téléphone, …). Toutefois, dès qu’une information mène à une personne physique bien déterminée, on dit qu’il y a traitement de données personnelles. Cela concerne aussi bien les fichiers papier que les dossiers numériques.

Principes d’utilisation des DCP

Le RGPD consiste à adopter les bons réflexes lorsqu’on collecte, traite et utilise des données personnelles. Cela implique la transparence vis-à-vis de la personne propriétaire des données, c’est-à-dire qu’elle a le droit de connaître :

  • les raisons de la collecte de ses DCP ;
  • les traitements effectués avec ses DCP  et leurs finalités ;
  • la durée de conservation et d’utilisation de ses DCP, etc.

Le RGPD : objectifs et principes

Objectifs

Le RGPD vise à responsabiliser tout organisme privé ou public qui traite des DCP. Ce RGPD est basé sur trois principaux objectifs :

  • renforcer la confiance des européens par l’amélioration de la protection en toute confidentialité de leurs données personnelles ;
  • apprendre aux entreprises à prendre des responsabilités dans l’utilisation des DCP des citoyens européens ;
  • assurer l’uniformité des législations partout en Europe.

À qui s’adresse le RGPD ?

Le RGPD regroupe une information concise, compréhensible, transparente et facilement accessible à toutes les personnes concernées. Effectivement, il s’applique à tout organisme, public ou privé, quelle que soit sa taille, qui traite des données personnelles (email, adresse, état civil, coordonnées bancaires, téléphone, etc.) :

  • sur le territoire européen ;
  • ayant pour cible des résidents européens ;
  • en tant que sous-traitants pour le compte d’autres organismes (européens ou non), mais ayant un rapport avec un pays, un service, une personne ou autres, appartenant à l’Union européenne.

Les entreprises ou individus, domiciliés en dehors de l’Europe, doivent se conformer au RGPD dès qu’ils travaillent pour le compte d’un européen.

Les principes du RGPD

Le RGPD est fondé sur quatre principes fondamentaux que tous les concernés doivent respecter :

  • le consentement de la personne titulaire des données récoltées et à traiter : par écrit, explicite et bien clair ;
  • le droit à l’effacement en cas d’atteinte à la vie privée de l’individu cible ;
  • la finalité des données collectées qui doivent être dans un but précis ;
  • la confidentialité et la sécurité : informations protégées contre la perte et le traitement non autorisé.

Les missions de la CNIL dans la mise en conformité au RGPD

La CNIL ou Commission nationale des informations et des libertés est une autorité nationale garantissant le contrôle de l’application du règlement européen sur la protection des données personnelles. Elle a pour missions principales :

  • d’assurer que toutes les entreprises ou particuliers utilisant des DCP sont conformes au RGPD ;
  • de mettre à leur disposition un guide pratique pouvant les aider à mieux connaître le règlement
  • de les rappeler la notion de donnée personnelle ;
  • de les conseiller sur les actions à effectuer pour être en conformité au RGPD ;
  • de répondre à toute demande d’information sur l’accès et l’opposition à vos données personnelles ainsi que d’une rectification d’un traitement si vous justifiez votre identité ;
  • d’intervenir par l’application d’une sanction en cas de non-respect de cette mise en conformité (amende de 20 millions d’euros ou 4 % du chiffre d’affaires réalisé l’année précédente).

Les étapes à suivre pour se mettre en conformité RGPD

La mise en conformité au RGPD est un processus permettant d’atteindre un niveau de protection suffisante à l’utilisation des DCP. Elle exige une mise à jour régulière des procédures et des politiques internes en cas d’incidents de sécurité, de contrôle ou de plainte. Pour sécuriser davantage les traitements des DCP, les entreprises doivent suivre les étapes mentionnées ci-après.

La désignation d’un pilote et la cartographie de l’ensemble des traitements

Un délégué à la protection des données ou DPO (Data Protection Officier) est désigné comme pilote de la gouvernance des DCP d’une structure. Il informe, conseille et contrôle en interne comme un véritable chef d’orchestre lorsqu’il y a traitement des DCP. Cela lui permet d’élaborer une cartographie des traitements effectués par votre société. C’est un recensement guidé de l’ensemble des DCP traitées qui circulent au sein de l’organisme : collecte, stockage, modalités d’exploitation et finalité. Ainsi, la cartographie des traitements, pour se conformer au RGPD, doit contenir :

  • la finalité du traitement et les catégories de données traitées ;
  • les personnes concernées par les données et leurs destinataires ;
  • les mesures de sécurité appliquées, etc.

Le tri des données en priorisant les actions à mener

Après analyse de la pratique en vigueur en termes d’utilisation des données dans votre structure, vous pouvez construire un plan d’action qui consiste :

  • à vérifier l’utilité des données traitées pour vos activités ;
  • à identifier s’il s’agit de données « sensibles » ou non et à définir les risques encourus ou les précautions à prendre ;
  • à minimiser la collecte des données par l’élimination des informations inutiles, etc.

Tout cela vous permet de mettre en valeur les actions qui vous rendent conformes aux obligations actuelles et à venir.

La gestion des risques

Pour gérer les risques engendrés par les traitements des DCP, il est impératif d’effectuer une analyse d’impact relative à la protection des données ou AIPD. Il s’agit d’un outil d’évaluation d’impact des traitements des DCP sur la vie privée des personnes concernées comprenant :

  • une description du traitement mis en œuvre et de sa finalité ;
  • une évaluation de l’importance et de la proportionnalité des opérations vis-à-vis de cette finalité ;
  • une évaluation des mesures envisagées pour faire face aux éventuels risques pour les droits et libertés des personnes cibles

L’organisation des processus internes

C’est une étape de mise en conformité au RGPD qui consiste à garantir en permanence un haut niveau de protection des DCP. Les procédures internes doivent considérer l’ensemble des événements pouvant survenir pendant les traitements comme :

  • la faille de sécurité ou le changement de prestataire ;
  • la gestion instantanée des demandes d’accès ou de rectification ;
  • la modification partielle ou totale des données collectées, etc.

La mise en œuvre opérationnelle du projet de mise en conformité au RGPD

Toutes entreprises ou associations, publiques ou privées, qui utilisent des DCP directement ou indirectement doivent prouver leur conformité au règlement. Elles doivent avoir des documents ou des fichiers enregistrant toutes les actions réalisées à chaque étape des traitements. Afin d’assurer une protection en continu des données, ces documents seront réexaminés et actualisés régulièrement. Ainsi, ces documents comprennent obligatoirement les éléments suivants :

  • la documentation sur vos traitements de DCP : le registre des traitements, les AIPD, l’encadrement des transferts des données vers des pays non européens (BCR, certification, clauses contractuelles, …) ;
  • l’information des personnes : mentions d’information, recueil du consentement des personnes concernées, … ;
  • les contrats définissant les missions et responsabilités des acteurs : contrats avec les sous-traitants, procédures internes en cas de violation de données, preuves de consentement, etc.
Les commentaires sont fermés

A VOIR AUSSI

Comment savoir si on est conforme au RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) permet un meilleur traitement de…