LE RGPD : Deciplus vous accompagne !

LE RGPD : Deciplus vous accompagne !

Qu’est-ce que le RGPD ?

Le RGPD, Règlement Général sur la Protection des Données, est un texte de loi européen. Il rentre en application à partir du 25 mai 2018.
Toute entité qui collecte, gère, et stocke des données à caractère personnel est concernée par le RGPD.

Quels sont les objectifs du RGPD ?

Le premier objectif du RGPD est d’harmoniser le traitement de la protection des données à caractère personnel des internautes sur le territoire européen.
Le RGDP renforce le droit individuel de la propriété des données à caractère personnel. Dans un autre temps, le RGDP prévoit des sanctions très dissuasives (allant de 10 à 20 000 000 € ou 2% à 4% du chiffre d’affaire annuel mondial).

Concrètement, l’application du RGPD engage le renforcement de ces points :

Consentement : la personne dont vous collectez les données doit exprimer son consentement explicitement et pouvoir revenir dessus. Vous devez garder trace de ce consentement.

Transparence de la collecte des données et clarté du chemin de l’information.

Droits d’accès, de modification, de suppression des données personnelles

Portabilité : les données personnelles étant une propriété privée, vous devez être en mesure de « rendre » celles qui vous ont été confiées, sous forme d’un fichier exploitable.

Le rôle de la CNIL

C’est la CNIL (Commission Nationale de l’Informatique et des Libertés), autorité administrative indépendante qui a pour mission de contrôler et de sanctionner les infractions au RGPD. Elle a également une mission d’accompagnement et de conseil. Vous trouverez de nombreuses informations et des outils sur www.cnil.fr

Qu’est-ce qu’une donnée à caractère personnel ?

Selon la définition de la CNIL, c’est une information relative à une personne physique, susceptible de l’identifier indirectement ou directement. Par exemple, cela peut être un nom, une date de naissance, un e-mail, un RIB, un numéro de téléphone, une photo, une empreinte digitale, etc. Dans le cadre du RGDP, on considère qu’il y a « traitement des données » à partir du moment où elles sont centralisées et classifiées de façon logique informatiquement. Cela signifie que même un tableau dans un document Word peut être concerné.

Comment faire pour être en règle avec le RGPD ?

La CNIL indique un plan d’action qui consiste en 6 étapes :


> Désigner un DPO (Délégué à la Protection des Données)
Il est chargé de comprendre le RGPD, de s’assurer de la mise en œuvre du respect du règlement et d’en faire un suivi dans le temps.

> Cartographier vos traitements de données personnelles
Vous devez identifier les différents traitements de données personnelles, les catégories de données personnelles traitées et les objectifs de ces traitements. Vous devez être en mesure de dire qui traite ces données (en interne et en externe) et pouvoir indiquer les flux (géographiques) de ces données pour identifier les éventuels transferts de données hors de la zone euro.

Vous devez tenir une documentation interne complète qui recense toutes ces informations et qui doit être mis à jour.

> Prioriser les actions à mener
Identifiez les zones « à risque » dans le traitement de vos données. Quelques questions à se poser : Votre activité justifie t-elle la collecte de toutes les données que vous faite ? Ces données sont elle à risques, que prévoyez vous en cas de violation de ces données ? Votre collecte est elle établie sur un consentement tracé ? Vos mentions d’information sont elles à jour ? Les modalités d’exercice des droits des personnes (accès, suppression, portabilité) sont-elles en place ?

> Gérer les risques
Vous devez mener une étude d’impact sur la protection des données (= PIA).
Vous devez identifier les risques que les traitements des données dans votre entreprise fait peser sur la vie de ceux qui vous ont confié leurs informations personnelles. Vous devez envisager des actions à mener pour être en accord avec le règlement.

> Organiser les processus internes
Sensibiliser vos collaborateurs afin que leurs actions et leurs demandes d’informations vis-à-vis des clients aillent dans le sens du RGPD. Traiter au plus tôt les demandes des clients liées à leurs droits (accès, suppression, portabilité). Anticiper la violation de données et prévoir l’avertissement à la CNIL dans les 72h et au propriétaire des données dans le délai le plus court.

> Documenter la conformité
Constituez un dossier prouvant votre conformité au RGPD. A l’intérieur, se trouveront toutes les documentions établies lors des étapes sus-citées et plus généralement toute la documentation concernant vos traitements de données personnelles, l’information des personnes, les contrats qui définissent les rôles et les responsables des actions.

En savoir plus sur le RGDP :

> le site de la CNIL :
https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes

> des conseils concrets pour avancer dans vos démarches :
https://www.cnil.fr/fr/rgpd-par-ou-commencer

Nous vous invitons à visionner cette vidéo faite par la CNIL :