Le Règlement Général sur la Protection des Données. RGPD
Depuis le 25 mai 2018, le RGPD a pour but de protéger les données des individus au sein de l’union européenne.
Il s’applique à toute organisation qui traite des données à caractère personnel.
Qu’est ce qu’une donnée personnelle ?
Toute information, identifiant directement ou indirectement une personne physique.
Quelques exemples de données:
- Nom, n° d’immatriculation, n° de téléphone, n° de SS, date de naissance, commune de résidence…. ou l’ensemble des informations permettant de discriminer une personne au sein d’une population tels que:
- Donnée physique, physiologique, génétique, psychique, économique, culturelle, sociale, sa profession,son sexe, son âge…
Qu’est ce qu’un traitement ?
La collecte, l’enregistrement, le classement, la conservation, l’extraction, le rapprochement, la destruction, la consultation, la transmission ou toute autre forme de mise à disposition sont des exemples de traitement.
Attention: Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papiers sont également concernés et doivent être protégés dans les mêmes conditions.
Qui est concerné ?
Le RGPD s’applique à toute organisation (entreprise, association, collectivité, publique et privée) qui traite des données personnelles.
Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.
Concrètement la grande majorité des organisations est concernée, puisqu’elles collectent des données de ses salariés ou adhérents (n° de SS, RIB, coordonnées…) et/ou de ses clients (fichiers clients, coordonnées…)
Que devez vous faire ?
Voici quelques étapes résumées ci-dessous:
Etablir un registre de traitement:
Cartographier les activités nécessitant la collecte et le traitement de données.
Préciser pour chaque activité (Les acteurs, les catégories de données, le descriptif du risque, le but, les flux, les mesures de sécurité etc…)
- Identifier et prioriser les actions à mener.
- Documenter, informer, définir les rôles et établir les procédures
- Trier les données collectées et stockées
- Respecter le droit des personnes
- Protéger les données
- Prévenir la CNIL dès qu’il y a une perte de données avérée ou supposée.
…
Les risques en cas de non-conformité
Les amendes administratives peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% à 4% du CA annuel mondial, le montant le plus élevé étant retenu.
Par ailleurs, les autorités de contrôle (en France, la CNIL) peuvent notamment :
Prononcer un avertissement ;
Mettre en demeure l’entreprise ;
Limiter temporairement ou définitivement un traitement ;
Suspendre les flux de données ;
Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
Ordonner la rectification, la limitation ou l’effacement des données.
Au-delà de la sanction financière, une non-conformité peut nuire gravement à votre image. Car vous êtes dans l’obligation de prévenir tous vos clients, en cas de plainte et/ou de perte de données.
Les textes législatifs :
Règlement (Union Européenne 2016/679 du Parlement européen et du Conseil du 27 avril 2016)