Ce site internet utilise des cookies. Voir notre politique de cookies
Fermer

Le Règlement Général sur la Protection des Données (RGPD)

Le Règlement Général Européen sur la Protection des Données (RGPD) remplace la Loi Informatique et Libertés depuis le 25 mai 2018. Le RGPD propose une approche plus actuelle aux problématiques liées à la protection des données. Il renforce les droits des individus et leur donne plus de contrôle sur la collecte et le traitement de leurs données et impose toute une série d'obligations sur les organisations afin qu'elles soient responsables de la protection des données.

 

La conformité n'est pas un choix

Il ne s'agit pas seulement de cocher quelques cases pour se mettre en conformité avec le RGPD; le règlement exige de la part des entreprises qu'elles démontrent leur conformité via les principes de protection des données. Cela implique l'adoption d'une approche basée sur les risques liés à la protection des données, la mise en place des politiques et procédures appropriées afin de gérer les principes de transparence et de responsabilité ainsi que les droits des personnes concernées et l'édification d'une culture organisationnelle de sécurité et de confidentialité des données.La mise en place du bon cadre de conformité, vous permet d'éviter de lourdes amendes ainsi qu'une atteinte à votre réputation.

Vous pourrez également montrer à vos clients que vous êtes dignes de confiance et responsables et obtenir de la valeur ajoutée des données que vous conservez.

 

Les avantages du RGPD pour les entreprises.

  • Renforcer la confiance des clients
  • Améliorer l'image et la réputation de la marque
  • Améliorer la gouvernance des données
  • Améliorer la sécurité de l'information
  • Améliorer l'avantage concurrentiel
 

En savoir plus sur les étapes à suivre afin de vous conformer au RGPD. Consultez notre checklist >>

 

Les éléments clés du RGPD

Données à caractère personnel

Le RGPD concerne les données personnelles soit toute information, sous tout format, permettant d'identifier de manière directe ou indirecte une personne physique.Le règlement met en place des contrôles bien plus strictes concernant le traitement des catégories spéciales de données personnelles. La nouveauté est que les données génétiques et biométriques ont été ajoutées à la liste.

Données à caractère personnel
 

Nom
Adresse
Adresse e-mail
Photo
Adresse IP
Données de localisation
Comportement en ligne (cookies)
Données de profilage et d'analyse

Catégories spéciales de données
à caractère personnel

Race
Religion
Opinions politiques
Appartenance à un syndicat professionnel
Orientation sexuelle
Informations de santé
Données biométriques
Données génétiques

 

Champ d'application

Le RGPD s'applique à toutes les organisations de l'Union Européenne – entreprises commerciales, œuvres caritatives ou organismes publics – qui collectent, conservent ou traitent des données à caractère personnel de résidents européens, même s'ils ne sont pas citoyens de l'UE.

Les organisations ayant leur siège hors de l'UE et offrant des biens et services à des résidents européens, suivant leur comportement ou traitant leurs données à caractère personnel sont soumises au RGPD.

Les prestataires de services (sous-traitants des données) qui traitent des données au nom d'une organisation sont concernés par le RGPD et doivent respecter des obligations de conformité spécifiques. Un exemple pourrait être une entreprise qui traite vos salaires ou un prestataire Cloud offrant du stockage de données.

 

Principes de protection des données

Les données à caractère personnel doivent être traitées selon les six principes de protection des données :

  • Traitement légal, équitable et transparent.
  • Collecte uniquement pour des fins légitimes spécifiques.
  • Adéquates, pertinentes et limitées au nécessaire.
  • Exactes et actualisées.
  • Stockées uniquement autant que nécessaire.
  • Assurance d'une sécurité, d'une intégrité et d'une confidentialité appropriées.

 

Responsabilité et gouvernance

You must be able to demonstrate compliance with the GDPR:

  • Vous devez pouvoir démontrer la conformité avec le RGPD :
  • Établissement d'une structure de gouvernance avec des rôles et des responsabilités.
  • Préservation d'enregistrements détaillés de toutes les opérations de traitement des données.
  • Documentation des politiques et procédures de protection des données.
  • Analyses d'impact relatives à la protection des données (AIPD) pour les opérations de traitement présentant un risque élevé.
    Pour en savoir plus >>
  • Mise en œuvre de mesures appropriées de sécurisation des données à caractère personnel.
  • Formation et sensibilisation du personnel.
  • Si nécessaire, désignation d'un délégué à la protection des données.

 

Protection des données dès la conception et par défaut

Une exigence impose la création de garanties et de pratiques de protection des données efficaces dès le début de tout traitement :

  • La protection des données doit être considérée dès le stade de la conception de tout nouveau processus, système ou technologie.
  • Une AIPD forme partie intégrante de la confidentialité dès la conception.
  • Le mode de collecte par défaut doit concerner uniquement les données à caractère personnel nécessaires à des fins spécifiques.

 

Traitement légal

Vous devez identifier et documenter les fondements légaux de tout traitement des données à caractère personnel. Les fondements légaux sont :

  • Consentement direct de l'individu ;
  • Nécessité de passation de contrat ;
  • Protection des intérêts vitaux de l'individu ;
  • Obligations juridiques de l'organisation ;
  • Nécessité dans l’intérêt public ; et
  • Intérêts légitimes de l'organisation.

 

Consentement valide

Les règles d'obtention du consentement sont plus strictes :

  • Le consentement doit être accordé librement et être spécifique, informé et dépourvu d'ambiguïté.
  • Une demande de consentement doit être intelligible et adopter un langage clair et simple.
  • Le silence, les cases pré-cochées et l'inactivité ne suffisent plus au consentement.
  • Le consentement peut être retiré à tout moment.
  • Le consentement pour des services en ligne d'un enfant de moins de 13 ans est valide uniquement avec une autorisation parentale.
  • Les organisations doivent être en mesure de prouver le consentement.

 

Droits à la vie privée des individus

Les droits des individus sont rehaussés et étendus dans plusieurs domaines importants :

  • Le droit d'accès aux données à caractère personnel via des demandes d'accès des personnes concernées.
  • Le droit de correction des données à caractère personnel inexactes.
  • Le droit, dans certains cas, d'effacement des données à caractère personnel.
  • Le droit d'objection
  • Le droit de déplacement des données à caractère personnel d'un prestataire de services vers un autre (portabilité des données).

 

Transparence et notifications de confidentialité

Les organisations doivent être claires et transparentes sur la manière dont les données à caractère personnel sont traitées, par qui et pourquoi.

  • Les notifications de confidentialité doivent être fournies sous une forme concise, transparente et aisément accessible dans un langage clair et simple.

 

Transferts de données hors de l'Union Européenne

Le transfert des données à caractère personnel hors de l'UE est uniquement autorisé :

  • Si l'UE a désigné un pays comme procurant un niveau adéquat de protection des données ;
  • Via des contrats modèles ou des règles d'entreprise strictes ; ou
  • En respectant un mécanisme agréé de certification, ex. le D UE-États-Unis.

 

Sécurité des données et signalement de violation

autorisation et les pertes, destructions ou dommages accidentels.

  • Les violations des données doivent être signalées à l'autorité de protection des données dans les 72 heures de la découverte.
  • Les individus affectés devraient être informés de l'existence d'un risque élevé pour leurs droits et libertés, ex. vol d'identité ou sécurité personnelle.

 

Délégué à la protection des données (DPD)

La désignation d'un DPD est obligatoire pour :

  • Les autorités publiques ;
  • Les organisations impliquées dans un traitement de données présentant un risque élevé ; et
  • Les organisations traitant des catégories spéciales de données.

Un DPD compte des tâches imposées :

  • Informer et conseiller l'organisation sur ses obligations.
  • Suivre la conformité, notamment la sensibilisation, la formation du personnel et les audits.
  • Coopérer avec les autorités de protection des données et servir de point de contact.
 

Exécution du RGPD et pénalités

Le RGPD a attiré l'intérêt des médias et des entreprises du fait des amendes administratives accrues en cas de défaut de conformité. Les infractions au RGPD n’entraineront pas toutes des amendes importantes.

Outre la capacité d'imposer des amendes, l'autorité de régulation dispose d'un éventail de pouvoirs de correction et de sanctions pour l'exécution du RGPD. Il s'agit notamment d'avertissements et de réprimandes, d'imposition d'interdiction temporaire ou permanente de traitement des données, d'ordre de rectification, de restriction ou d'effacement des données et de suspension des transferts de données vers des pays tiers.

Les coûts de la non-conformité

 

 

 

 

Amendes administratives

Les amendes administratives sont discrétionnaires et non obligatoires. Elles doivent être imposées au cas par cas et se montrer ‘efficaces, proportionnées et dissuasives’.

Les amendes administratives présentent deux niveaux :

  • 1) Jusqu'à 10 millions d’euros ou 2% du chiffre d’affaires global annuel – le plus élevé.
  • 2) Jusqu'à 20 millions d’euros ou 4% du chiffre d’affaires global annuel – le plus élevé.

Les amendes reposent sur les articles spécifiques que l'organisation a violés. Les infractions aux obligations de l'organisation, notamment les violations de la sécurité des données, sont soumises au niveau inférieur alors que celles portant sur les droits à la vie privée des individus sont soumises au niveau supérieur.

 

Responsabilité pour dommage

Le RGPD confère aussi aux individus un droit de compensation de tout dommage matériel ou moral résultant d'une infraction du RGPD. Dans certains cas, les organismes à but non lucratif peuvent assumer une action en représentation au nom d'individus. Une porte s'ouvre ainsi pour les actions collectives en cas d'infractions de grande ampleur.

 

Comment IT Governance vous prépare pour le RGPD

IT Governance, un prestataire global leader des solutions de gouvernance informatique, de gestion du risque et de conformité, est à l'avant-garde pour aider les organisations à relever à l'échelon global les défis de la conformité RGPD.

Pour des consignes pratiques sur la marche à suivre pour devenir conforme, découvrez nos étapes clés pour la conformité RGPD. Voir la liste de contrôle >>

Nous offrons des solutions, des services et une expertise complète afin de vous aider à atteindre vos objectifs de conformité RGPD.

 

 

Discutez avec un conseiller

Veuillez contacter notre équipe RGPD pour plus de conseils sur nos produits et services

Télephone : 00 800 48 484 484