Les principes du RGPD

Objectif du RGPD

Le nouveau Règlement Général sur la Protection des Données doit permettre à l’Europe de s’adapter aux nouvelles réalités numériques.

Le RGPD a pour vocation de renforcer la protection des données à caractère personnel au sein de l’Union Européenne. Ainsi toutes les entreprises, associations et collectivités publiques devront assurer une protection optimale des données à caractère personnel qu’ils traitent, et être en mesure de prouver à la CNIL leur conformité au RGPD.

Une violation du nouveau Règlement Général sur la Protection des Données peut entraîner de lourdes amendes allant jusqu’à 4% du chiffre d’affaires annuel mondial, ainsi qu’une atteinte à la réputation et l’image de votre entreprise ou association.

Qui est concerné par le RGPD ou GPDR ?

Toutes les structures publiques ou privées présentes sur le territoire européen et qui effectuent des traitements de données à caractère personnel sont concernées par ce nouveau règlement.

Que risque t’on en cas de non-conformité ?

Dans le cas où votre société n’est pas conforme au RGPD vous risquez de lourdes sanctions pénales et une amende pouvant atteindre 4% de votre chiffre d’affaires annuel.

Nous vous rappelons qu’à partir du 25 mai 2018 vous avez l’obligation de démontrer à la CNIL que vous êtes en conformité avec le Règlement Général sur la Protection des Données.

 

Quels sont les grands principes du RGPD ?

Le Règlement Général sur la Protection des Données comprend 99 articles et 10 grands principes :

Accountability

L’Accountability est défini par la CNIL comme

l’obligation pour les entreprises de mettre en œuvre des mécanismes et procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Privacy by Design

Le Privacy By Design repose sur sept principes fondamentaux qui visent à s’assurer de la conformité des traitements dès le moment de leur conception.

Portabilité

La Portabilité est un nouveau droit qui permet aux personnes de récupérer ses données dans un format ouvert et lisible par une machine.

Profilage

Le Profilage désigne l’analyse et la prédiction du comportement, des achats, de la localisation, des préférences… d’une personne physique.

Certifications

Les Certifications décernées par la CNIL sont des labels qui permettent de démontrer sa conformité au Règlement Général sur la Protection des Données.

DPO

Le DPO, véritable chef d’orchestre de la conformité, le DPO (Délégué à la Protection des Données) doit informer, conseiller le responsable du traitement et contrôler le respect du RGPD

Transfert de données

Le Transfert de données, par principe tout transfert de données hors de l’Union Européenne est désormais prohibé. Néanmoins, il y a des exceptions qui existent.

Consentement

Le consentement est un droit qui est renforcé par le RGPD qui comprend désormais de nombreuses obligations comme le fait de démontrer que l’on a recueilli un consentement préalable à tout traitement.

Sécurité

La Sécurité est une notion importante du RGPD, le responsable du traitement à l’obligation de sécuriser les données et il doit mettre en place des solutions visant à tester, analyser et évaluer régulièrement les mesures techniques mises en place.

PIA

Le PIA ou étude d’impact d’un traitement de données à caractère personnel est un document clé pour votre structure qui s’inscrit dans le cadre de la gestion des risques et qui permet de limiter sa responsabilité en cas de contrôle.

Pour être en conformité vous devrez notamment :

l

Rédiger un document d’avant-vente à destination des clients ou prospects

Désigner un Délégué à la Protection des Données (DPO)

U

Réviser vos Conditions Générales de Ventes pour une mise en conformité

Cartographier vos traitements de données personnelles

N

Vérifier la conformité de vos partenaires au RGPD

Mettre en place des mesures techniques et organisationnelles

Le registre du traitement de données à caractère personnel doit répondre à 6 grandes questions

Qui ?

Identifiez les personnes traitant des données au sein de votre structure ainsi que les sous-traitants.

Quoi ?

Identifiez les catégories de données personnelles que vous traitez.

Pourquoi ?

Indiquez la ou les finalités pour lesquelles vous collectez des données

Où ?

Déterminez où sont hébergées toutes vos données.

Jusqu'à quand ?

Indiquez pour chaque donnée combien de temps vous allez les conserver.

Comment ?

Indiquez les mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés.