Ressources documentaires AB

  1. Accueil
  2. Docs
  3. Ressources documentaires AB
  4. Dossier Spécial
  5. Éclairage sur le règlement général européen sur la protection des données

Éclairage sur le règlement général européen sur la protection des données

   

Dans le cadre de la mise en application du RGPD 2018, nous avons demandé à Gérard Beyney, consultant du cabinet Infhotep, de nous éclairer sur ce nouveau règlement.

Gérard Beyney, pouvez-vous nous expliquer ce qu’est le règlement général européen sur la protection des données (RGPD) ?

Il s’agit du règlement de protection des données à caractère personnel des ressortissants européens, dans tous leurs échanges et avec toutes les organisations publiques ou privées au sein de l’UE ou de l’EEE, qui a été signé par les 31 pays membres de l’UE et les instances européennes. Par donnée à caractère personnel, il convient d’entendre toute donnée qui concerne une personne physique et en permet l’identification directe ou indirecte par recoupement. Des exemples ? Adresse IP, nom, numéro d’immatriculation, numéro de téléphone, photographie du visage, éléments biométriques, numéro d’identification, ensemble d’informations permettant de discriminer une personne au sein d’une population…

À qui le RGPD s’applique-t-il ?

À chacun d’entre nous, quelle que soit notre activité professionnelle. En clair : à tout membre dont l’organisation manipule, en France, des données à caractère personnel de ressortissants de l’Europe communautaire et de l’Espace économique européen. La manipulation comprend, selon les termes exhaustifs du règlement : la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction de données. Et ce quel qu’en soit le support numérique ou papier.

Même aux associations ?

Oui, même aux associations dès lors qu’elles « manipulent » (sens expliqué ci-dessus) des données à caractère personnel. L’esprit de la loi change à ce point que nous recommandons aux organisations qui n’en manipulent pas de déclarer cette non-manipulation auprès de la CNIL.

Quelle différence par rapport à la CNIL ?

La CNIL était et reste l’autorité nationale de contrôle. Elle dispose désormais avec le RGPD d’un corpus règlementaire plus large, de sanctions notablement réévaluées.

Est-ce que cette nouvelle réglementation se substitue à la réglementation française ou est-ce qu’elle la complète ?

Elle la complète. Pour mémoire, une grande partie de ces dispositions sont déjà contenues dans la loi de 1978 dite Loi Informatique et Libertés — oui 1978, vous avez bien lu. Cette loi a été amendée de nombreuses fois, le plus notablement en 2004.

Quels changements majeurs apporte le RGPD ?

Le RGPD remplace l’obligation de déclaration par la responsabilité de disposer d’un répertoire (ou référentiel) à jour des traitements opérés par l’organisation démontrant, et les risques encourus par les données personnelles manipulées, et les mesures prises pour limiter les impacts d’un usage illégitime de celles-ci.

Quelle est la date butoir de mise en application ?

C’est un dispositif permanent dont la mise en application est le 25 mai 2018. À partir de cette date, la CNIL a autorité pour demander la preuve de la conformité et pour sanctionner tout manquement. Dans les faits, il faut pouvoir démontrer à cette date les efforts entrepris pour répondre à ces obligations (vision projet) ainsi que les dispositifs organisationnels et processoraux (vision gouvernance) effectivement mis en œuvre.

Quelles sont les sanctions en cas de non-respect des dispositions du RGPD ?

Les sanctions ont été très largement revues à la hausse pour protéger le patrimoine informationnel de chacun. Ces sanctions peuvent aller jusqu’à 20 millions d’euros par infraction (grave) constatée.

Pouvez-vous donner des exemples de pratiques qui devront changer à l’avenir ?

Par exemple, on ne devra plus échanger de fichiers contenant des données non anonymisées ou, a minima, de fichiers non protégés par un mot de passe.

Comment se préparer au RGPD ?

En adoptant et en mutualisant la démarche retenue par la Fnogec : constat des traitements manipulant des données à caractère personnel, mise en place priorisée des actions de protection de ces données.

En savoir plus sur le RGPD

Le Règlement relatif à la protection des per- sonnes physiques, à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, adopté par le Conseil et le Parlement européen sera applicable à partir du 25 mai 2018 dans tous les pays membres de l’Union européenne.

Le règlement général sur la protection des don- nées vise à harmoniser les objectifs et les principes en matière de protection des données sans qu’aucune interprétation des pays membres ne puisse fragmenter la mise en œuvre de la protection des données dans l’Union.

Au-delà de la nécessaire mise en conformité, l’application des exigences du règlement renforce le facteur confiance et éthique que présente votre organisation.

Dans cette optique, la Fnogec met en œuvre une politique de protection des données à caractère personnel à la hauteur des attentes du cadre juridique européen et décline la démarche d’amélioration continue sur laquelle repose sa politique de sécurité.

Changement de paradigme

Le règlement général sur la protection des données est aujourd’hui au cœur des préoccupations de toutes les organisations publiques, privées, éducatives ou commerciales. Il vient apporter de nouvelles dispositions en termes de démarche et de politique de protection des don- nées personnelles.

Le règlement européen consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu’elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’UE.

Il impose des obligations spécifiques aux sous- traitants qui doivent notamment aider les responsables de traitement dans leur démarche permanente de mise en conformité.

La Fnogec veut vous assurer dès aujourd’hui des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles pour que ces traitements répondent aux exigences du règlement et garantissent la protection des droits de la personne concernée.

Principales dispositions qui viennent renforcer celles de la Loi Informatique et Libertés

Les principes fondamentaux I&L

  • La finalité :  Avant toute collecte et utilisation de données personnelles, l’entreprise privée doit précisé- ment annoncer aux personnes concernées ce à quoi elles vont lui servir. L’utilisation de ces données est encadrée par la loi.
  • La pertinence :Seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées.
  • La conservation :Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de les conserver et elles doivent être supprimées.
  • Les droits : Les personnes disposent de droits auprès de l’organisme qui détient leurs données : un droit d’accéder à ces données, un droit de les rectifier et enfin un droit de s’opposer à leur utilisation.
  • La sécurité : L’organisation doit prendre toutes les mesures nécessaires pour garantir la sécurité des données qu’elle a collectées mais aussi leur confidentialité.

Les apports du RGPD

  • Accountability : Prouver les mesures mises en œuvre pour la protection des données.
  • Droit à la portabilité :Anticiper le fait que vos usagers peuvent récupérer leurs données.
  • Privacy by Design :Intégrer la protection des données dès la conception de vos applications informatiques.
  • Notification aux personnes concernées :Préparer la communication aux usagers concernés par les violations et gérer la crise.
  • Les études d’impacts sur la vie privée (des traitements nouveaux) : Analyser et anticiper les risques. Prendre les mesures de réduction adéquates.
  • Principe de coresponsabilité :Travailler de bout en bout des traitements avec vos éditeurs et vos fournisseurs qui exploitent les données à caractère personnel de vos usagers.

Données Infhotep

 


“Arc boutant” n° 576, décembre 2017. 

Étiquettes , , , , ,

Comment pouvons-nous aider ?