Le RGPD - Règlement général sur la protection des données

de quoi s'agit-il ?

En 7 points :

 

#1 : Qu’est-ce qu’une donnée personnelle ?

 

Le grand principe de base de ce nouveau règlement européen est la protection des données personnelles de tout citoyen européen.

Toute donnée relative à une personne physique et permettant son identification, que ce soit de manière directe ou indirecte, constitue une donnée personnelle et est donc concernée par ce nouveau règlement.

Nom, prénom, adresse (e-mail ou postale), numéro de permis de conduire, données biométriques, etc. Toutes ces données qui peuvent être collectées par une entreprise sont soumises au nouveau règlement européen et doivent à ce titre être obligatoirement protégées par les entreprises.

 

#2 Quelles étapes pour la collecte des données ?

 

Ce nouveau règlement implique une modification générale quant aux collectes des données personnelles des utilisateurs.

Si jusqu’à présent le fait "d’accepter les conditions générales d’utilisation" au sens large d’un service, d’un outil ou encore d’un site internet suffisait à induire implicitement que l’ensemble des données collectées pouvaient être utilisées par une entreprise, ce ne sera plus le cas à partir du 25 mai 2018.

Désormais, même pour une simple inscription à une newsletter, tout organisme devra recueillir immédiatement le consentement d’un utilisateur avant de pouvoir ajouter celui-ci à sa base de données.

 

#3 : Permettre le droit d’accès, de rectification et de suppression des données collectées.

 

Plus largement, les utilisateurs peuvent désormais prétendre à un (vrai) droit à l’oubli total de leurs données.

Concrètement, ce droit à l’oubli implique que les organismes doivent être en mesure de garantir aux personnes qui leur en feront la demande (et qui respectent les 6 motifs valables fixés par le RGPD dans son article 17) que l’ensemble des données sera vraiment et définitivement supprimé de l’ensemble de leurs systèmes, et ce, dans un délai de 30 jours.

 

#4 Permettre la portabilité des données personnelles.

 

Au même titre que la portabilité du numéro obligatoire depuis des années pour les différents acteurs de la téléphonie mobile, toute personne pourra désormais exiger d’une entreprise la mise à disposition de ses données personnelles dans un format «"structuré, couramment utilisé et lisible par une machine."

Toute personne pourra également formuler une demande de transfert de ce fichier (compilant l’ensemble de ses données) à une autre entreprise "lorsque cela est techniquement possible".

 

#5 RGPD et protection des données.

 

C’est également l’un des points incontournables de ce règlement : un plus haut niveau de protection des données personnelles et ce à tout niveau à toute étape, de la collecte à la suppression en passant par son utilisation.

Instauration ainsi la "protection des données dès la conception" et la "sécurité par défaut".

 

#6 Procédure en cas de fuites de données personnelles.

 

En cas de fuites de données personnelles, les organismes devront se conformer aux nouvelles exigences du RGPD et notamment s’engager à respecter deux points importants :

  • L’obligation d’avertir immédiatement les personnes concernées par cette fuite de données et mettre à leur disposition l’ensemble des informations relatives à cette fuite : données concernées, détails de la fuite, information sur les autorités et organismes à contacter en cas de volonté de dépôt de plainte ou de réclamation, etc.
  • De leurs côtés, toutes les entreprises devront disposer au préalable d’une liste des organismes et autorités compétents à contacter d’urgence lors d’une fuite de ces données et des différentes actions à mener pour résoudre le problème et pour informer les utilisateurs.

 

#7 Nomination obligatoire d’un DPO (délégué à la protection des données) pour certaines instances et organismes.

 

Nomination d’un Délégué à la Protection des Données (DPO) ou "Data Privacy Officer en anglais" désormais obligatoire pour :

  • toutes les instances publiques,
  • tous les organismes privés qui effectuent des traitements de données personnelles à grande échelle.

Ce DPO sera en charge d’administrer et de piloter l’ensemble de la mise en conformité du RGPD mais également d’assurer le suivi de la protection de données tout au long du cycle de vie des données.

Il/elle aura notamment comme tâches et obligations les éléments suivants :

  • suivre la mise en conformité du RGPD à l’échelle de l’organisme,
  • mettre à disposition de l’organisation et de tout le personnel toutes les informations relatives à la gestion et à l’utilisation des données personnelles,
  • centraliser l’ensemble des demandes d’application des droits des personnes (accès, modification portabilité, droit à l’oubli, etc),
  • assurer la coopération pleine et entière de l’entreprise avec n’importe quelle autorité mandatée pour réaliser des contrôles de conformité et de sécurité,
  • participer à l’élaboration des analyses d’impacts pouvant être obligatoires pour certaines données jugées plus sensibles,
  • toutes autres réflexions et actions relatives aux sujets des collectes et traitements de données personnelles.