2. RÈGLEMENT GÉNÉRAL SUR LA
PROTECTION DES DONNÉES
- Introduction
- Renforcement des droits des personnes
- Définitions de grandes notions
- Le traitement de données et la tenue du registre
- Les acteurs
- La CNIL
- Le responsable de traitement et le sous-traitant
- Le Data Protection Officer
- Les obligations des entreprises
3. Introduction
• RGPD = Règlement général sur la protection des
données
• Vise à : renforcer les droits des personnes ; responsabiliser
les acteurs traitant des données ; crédibiliser la régulation
• L’objectif du RGPD est d’avoir des règles communes à tous
les Etats de l’UE. Il ne nécessite pas de transposition et est
applicable directement.
• Le règlement a été voté en 2016, les entreprises ayant 2
ans pour se conformer (jusqu’au 25 mai 2018)
• Champ d’application : entreprises réalisant la collecte, le
traitement, l’utilisation de données personnelles des
personnes physiques.
• Sont concernés ainsi tous les organismes qui traitent des
données personnelles pour le compte d’un autre
organisme, dans le cadre d’un service ou d’une prestation.
4. Introduction
Et avant RGPD ?
• Loi du 6 janvier 1978, dite loi sur Informatique et
Libertés
• La France pionnière en matière de protection des données
personnelles
• Mise en place de la Commission nationale de l’Informatique
et des Libertés (autorité administrative indépendante)
5. Renforcement des droits des
personnes
• Renforcement du consentement et transparence
• Mise à disposition d’une information claire, intelligible, aisément accessible aux
personnes concernées.
• Expression du consentement définie : les usagers doivent être informés de
l’usage de leurs données et doivent en principe donner leur accord pour le
traitement de celles-ci ou pouvoir s’y opposer.
• De nouveaux droits
• Droit à la portabilité des données (permet la récupération des données fournies)
• Conditions particulières concernant le traitement des données des enfants
• Introduction du principe des actions collectives
• Droit à la réparation des dommages matériel ou moral
• Etc…
6. Définitions de grandes notions
• Traitement : L'article 4 du règlement définit un traitement comme « toute opération ou
tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et
appliquées à des données ou des ensembles de données à caractère personnel, telles que la
collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou
la modification, l'extraction, la consultation, l'utilisation, la communication par
transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou
l'interconnexion, la limitation, l'effacement ou la destruction; »
• Données personnelles : toute information se rapportant à une personne physique
identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une
« personne physique identifiable » une personne physique qui peut être identifiée,
directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un
numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou
plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle ou sociale;
• Objectifs : objectif principal d’une application informatique de données personnelles.
Exemples de finalité : gestion des recrutements, gestion des clients, enquête de satisfaction,
surveillance des locaux, etc.
7. Le traitement de données et la
tenue du registre
• Recensement des traitements de données
personnelles à mettre en œuvre
• Registre des traitements :
8. Le principe d'accountability
• Une notion que l'on trouve dans les textes antérieurs (ISO
29100...)
• Applications plus larges données par le RGPD:
• Obligation généralisée de tenir un registre de toutes les activités de
traitement (obligation étendue non seulement aux responsables de
traitement mais aussi aux sous-traitants).
• Avant, avec la loi Informatique et Libertés, le CIL (correspondant
informatique et libertés) était chargé de la tenue du registre (mais
seulement pour les traitements exonérés de déclaration auprès de la
CNIL).
• Registre permettant plus aisément d'avoir une vue d'ensemble des
activités de traitements menées.
• Doivent tenir un registre de données:
• Les entreprises de plus de 250 personnes
• Les entreprises de moins de 250 personnes, lorsqu'elles détiennent des données
sensibles.
• Les organismes publics
9. Les acteurs
• La CNIL : bien que les déclarations, les autorisations
disparaissent, la CNIL garde son pouvoir de contrôle.
• Le responsable de traitements : celui « qui
détermine les finalités et les moyens d’un traitement »
(article 4 du règlement européen – définitions). Il met
en œuvre des mesures techniques et organisationnelles
appropriées pour s'assurer et être en mesure de
démontrer que le traitement est effectué conformément
au présent règlement.
• Le sous-traitant : traite des données personnelles
pour le compte, sur instruction et sous l’autorité d’un
responsable de traitement.
• Le Data Protection Officer : le véritable chef
d’orchestre, celui qui va veiller au respect du RGPD
10. La Commission Nationale de
l’Informatique et Libertés
• Le RGPD remplace de nombreuses obligations précédemment
imposées par la CNIL.
• Le non-respect du RGPD peut entrainer une amende allant de 2% à 4%
du chiffre d'affaires de l'entreprise (montant limité à 20M€).
• La plupart des formalités préalables actuelles auprès de la CNIL
(déclarations, autorisations) vont disparaître, au profit d’une logique de
conformité continue.
• Toutefois la CNIL garde tous ses pouvoirs quant au contrôle et aux
recommandations, afin de se conformer au RGPD. Elle continuera à
procéder à des vérifications dans les locaux des organismes, en ligne,
sur audition et sur pièces
• Par ailleurs, la CNIL accompagne activement les entreprises durant
cette période de transition.
11. Le responsable de traitement et
Le sous-traitant
• Une très grande variété de prestataires de services a la qualité de
sous-traitant au sens juridique du terme. Sont notamment
concernés par le règlement européen :
• Les prestataires de services informatiques (hébergement,
maintenance,…), les intégrateurs de logiciels, les sociétés de sécurité
informatique, les entreprises de service du numérique.
• Les agences de marketing ou de communication.
• Tout organisme offrant un service ou une prestation impliquant un
traitement de données à caractère personnel pour le compte d’un autre
organisme.
• Un organisme public ou une association peut également être amené à
recevoir une telle qualification.
12. Le responsable de traitement et
le sous-traitant
Exemple tiré du site de la CNIL
13. Le Data Protection Officer
• Le délégué est chargé de mettre en œuvre la conformité au
règlement européen sur la protection des données au sein
de l’organisme qui l’a désigné s’agissant de l’ensemble des
traitements mis en œuvre par cet organisme.
• Sa désignation est obligatoire dans certains cas. Un
délégué, interne ou externe, peut être désigné pour
plusieurs organismes sous conditions.
• Pour garantir l’effectivité de ses missions, le délégué :
• doit disposer de qualités professionnelles et de connaissances
spécifiques,
• doit bénéficier de moyens matériels et organisationnels, des
ressources et du positionnement lui permettant d’exercer ses
missions.
14. Le Data Protection Officer
Suite
• La désignation d’un délégué est obligatoire pour :
• Les autorités ou les organismes publics,
• Les organismes dont les activités de base les amènent à réaliser un
suivi régulier et systématique des personnes à grande échelle,
• Les organismes dont les activités de base les amènent à traiter à
grande échelle des données dites « sensibles » ou relatives à des
condamnations pénales et infractions.
• Le délégué à la protection des données peut par ailleurs être
mutualisé c’est-à-dire désigné pour plusieurs organismes sous
certaines conditions.
• Le DPO est le successeur naturel du CIL (Correspondant
Informatique et Libertés). Leurs statuts sont similaires.
• En revanche le RGPD pose des règles spécifiques quant à la
qualification du DPO et sa formation continue.