Règlement Général sur la Protection des Données (RGPD)

Le Règlement Général Européen sur la Protection des Données (RGPD) remplace la Loi Informatique et Libertés depuis le 25 mai 2018. Le RGPD propose une approche plus actuelle aux problématiques liées à la protection des données. Il renforce les droits des individus et leur donne plus de contrôle sur la collecte et le traitement de leurs données et impose toute une série d'obligations sur les organisations afin qu'elles soient responsables de la protection des données.


La conformité n'est pas un choix

Il ne s'agit pas seulement de cocher quelques cases pour se mettre en conformité avec le RGPD; le règlement exige de la part des entreprises qu'elles démontrent leur conformité via les principes de protection des données. Cela implique l'adoption d'une approche basée sur les risques liés à la protection des données, la mise en place des politiques et procédures appropriées afin de gérer les principes de transparence et de responsabilité ainsi que les droits des personnes concernées et l'édification d'une culture organisationnelle de sécurité et de confidentialité des données. La mise en place du bon cadre de conformité, vous permet d'éviter de lourdes amendes ainsi qu'une atteinte à votre réputation.

Vous pourrez également montrer à vos clients que vous êtes dignes de confiance, responsables et ainsi obtenir de la valeur ajoutée des données que vous traitez.


Les avantages du RGPD pour les entreprises.

  • Renforcer la confiance des clients
  • Améliorer l'image et la réputation de la marque
  • Améliorer la gouvernance des données
  • Améliorer la sécurité de l'information
  • Améliorer l'avantage concurrentiel
En savoir plus sur les étapes à suivre afin de vous conformer au RGPD. Consulter notre checklist >>

Données à caractère personnel

Le RGPD concerne les données personnelles soit toute information, sous tout format, permettant d'identifier de manière directe ou indirecte une personne physique. Le règlement met en place des contrôles bien plus strictes concernant le traitement des catégories spéciales de données personnelles. La nouveauté est que les données génétiques et biométriques ont été ajoutées à la liste.

Données à caractère personnel

  • Nom
  • Adresse
  • Adresse e-mail
  • Photo
  • Adresse IP
  • Données de localisation
  • Comportement en ligne (cookies)
  • Données de profilage et d'analyse

Catégories spéciales de données personnelles

  • Race
  • Religion
  • Opinions politiques
  • Appartenance à un syndicat professionnel
  • Orientation sexuelle
  • Informations de santé
  • Données biométriques
  • Données génétiques

Champ d'application

Le RGPD s'applique à toutes les organisations de l'Union Européenne – entreprises commerciales, œuvres caritatives ou organismes publics – qui collectent, conservent ou traitent des données à caractère personnel de résidents européens, même s'ils ne sont pas citoyens de l'UE.

Les organisations ayant leur siège en dehors de l'UE et offrant des biens et services à des résidents européens, suivant leur comportement ou traitant leurs données à caractère personnel sont soumises au RGPD.

Les prestataires de services (sous-traitants des données) qui traitent des données au nom d'une organisation sont concernés par le RGPD et doivent respecter des obligations de conformité spécifiques. Cela pourrait être par exemple, une entreprise gérant les salaires pour votre organisation ou un prestataire Cloud proposant du stockage de données.


Les élément clés du RGPD

  • L’établissement d'une structure de gouvernance avec des rôles et des responsabilités.
  • Le maintien à jour d'enregistrements détaillés concernant toutes les opérations de traitement des données.
  • La documentation des politiques et procédures de protection des données.
  • L’organisation d’Analyses d'Impact relatives à la Protection des Données (AIPD) pour les opérations de traitement présentant un risque élevé. En savoir plus >>
  • La mise en œuvre de mesures de sécurité appropriées des données à caractère personnel.
  • La formation et la sensibilisation du personnel.
  • Si nécessaire, la désignation d'un délégué à la protection des données.

  • Traitées de manière licite, loyale et transparente.
  • Collectées pour des finalités déterminées, explicites et légitimes.
  • Adéquates, pertinentes et limitées à ce qui est nécessaire.
  • Exactes et, si nécessaire, tenues à jour.
  • Conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
  • Traitées de façon à garantir une sécurité appropriée des données à caractère personnel.

  • Consentement direct de l'individu ;
  • Nécessité de passation de contrat ;
  • Protection des intérêts vitaux de l'individu ;
  • Obligations juridiques de l'organisation ;
  • Nécessité dans l’intérêt public ; et
  • Intérêts légitimes de l'organisation.

  • Le droit d'accès aux données à caractère personnel via des demandes d'accès des personnes concernées.
  • Le droit de modifier des données à caractère personnel inexactes.
  • Le droit, dans certains cas, d'effacement des données à caractère personnel.
  • Le droit d’opposition
  • Le droit de portabilité des données à caractère personnel d'un prestataire de services vers un autre.

  • Le consentement doit être par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord.
  • Une demande de consentement doit être présentée sous une forme compréhensible et aisément accessible, et formulée en des termes claires et simples.
  • Le silence, les cases pré-cochées et l'inactivité ne suffisent plus au consentement.
  • Le consentement peut être retiré à tout moment.
  • Le consentement d’enfants de moins de 13 ans pour des services en ligne est valide uniquement avec une autorisation parentale.
  • Les organisations doivent être en mesure de prouver le consentement.

  • La protection des données doit être prise en compte dès la conception d’un nouveau processus, système ou technologie.
  • Une AIPD fait partie intégrante du principe de confidentialité dès la conception.
  • Le mode de collecte par défaut doit concerner uniquement les données à caractère personnel nécessaires à des fins spécifiques.

  • Les notifications de confidentialité doivent être fournies sous une forme concise, transparente et aisément accessible dans un langage clair et simple.

  • Si l'UE a désigné un pays comme procurant un niveau adéquat de protection des données ;
  • Via des contrats modèles ou des règles d'entreprise strictes ; ou
  • En respectant un mécanisme agréé de certification, ex. le bouclier de protection des données UE-US (Privacy Shield).

  • Les violations des données doivent être signalées à l'autorité de protection des données dans les 72 heures suivant la découverte.
  • Les individus affectés devraient être informés de l'existence d'un risque élevé concernant leurs droits et libertés, ex. vol d'identité ou sécurité personnelle.

  • Les autorités publiques ;
  • Les organisations impliquées dans un traitement de données présentant un risque élevé ; et
  • Les organisations traitant des catégories spéciales de données.

Un DPD à des tâches imposées :

  • Informer et conseiller l'organisation au sujet de ses obligations.
  • Suivre la conformité, notamment la sensibilisation, la formation du personnel et les audits.
  • Coopérer avec les autorités de protection des données et servir de point de contact..

Exécution du RGPD et pénalités

Le RGPD a attiré l'intérêt des médias et des entreprises du fait des amendes administratives importantes en cas de défaut de conformité. Les infractions au RGPD n’entraineront pas toutes des amendes importantes.

Outre la capacité d'imposer des amendes, l'autorité de régulation dispose d'un éventail de pouvoirs de correction et de sanctions l’aidant à faire appliquer le RGPD. Il s'agit notamment d'avertissements et de réprimandes, d'interdictions temporaires ou permanentes de traitement des données, de demandes de rectification, de restriction ou d'effacement des données et de suspension des transferts de données vers des pays tiers.


Amendes administratives

Les amendes administratives sont discrétionnaires et non obligatoires. Elles doivent être imposées au cas par cas et se montrer ‘effectives, proportionnées et dissuasives’.

Les amendes administratives présentent deux niveaux :

  1. Jusqu'à 10 millions d’euros ou 2% du chiffre d’affaires global annuel – selon le montant le plus élevé.
  2. Jusqu'à 20 millions d’euros ou 4% du chiffre d’affaires global annuel – selon le montant le plus élevé.

Les amendes dépendent des articles spécifiques que l'organisation a violés. Les infractions aux obligations de l'organisation, notamment les violations de la sécurité des données, sont soumises au niveau inférieur alors que celles portant sur les droits à la vie privée des individus sont soumises au niveau supérieur.


Responsabilité en cas de dommage

Le RGPD confère aussi aux individus un droit de compensation en cas de dommage matériel ou moral résultant d'une infraction du RGPD. Dans certains cas, les organismes à but non lucratif peuvent assumer une action en représentation au nom d'individus. Une porte s'ouvre ainsi pour les actions collectives en cas d'infractions de grande ampleur.


Comment IT Governance vous prépare pour le RGPD

IT Governance, prestataire international, leader des solutions de gouvernance informatique, de gestion du risque et de conformité, est à l'avant-garde pour aider les organisations à relever les défis de conformité RGPD.

Pour des consignes pratiques sur la marche à suivre pour se conformer, découvrez nos étapes clés de mise en conformité avec le RGPD. Voir la liste de contrôle >>

Nous proposons des solutions, des services et une expertise complète afin de vous aider à atteindre vos objectifs de conformité RGPD.

Livres

Formations

Formation de sensibilisation du personnel

Logiciel et toolkits de conformité

Services de conseil


Discutez avec un conseiller

Veuillez contacter notre équipe RGPD pour plus de conseils sur nos produits et services

 

haut
SAVE 25% ON
FOUNDATION
TRAINING