Focus pratique et technique pour les TPE d’IC ET IAS en matière de RGPD.
INTRODUCTION Le RGPD est le règlement général de la protection des données personnelles. il s’agit selon l’article 4 alinéa 1 du RGPD de toute information se rapportant à une personne physique identifiée ou identifiable et est réputée être une personne physique identifiable une personne physique qui peut être identifiée directement ou indirectement notamment par référence à un identifiant ; tel qu’un nom un numéro d’identification, des données de localisation, etc.
INTRODUCTION Ce règlement a vocation à s’appliquer a toutes les entreprises sur le territoire de l’Union ou en dehors traitant des données à caractère personnel de citoyens européens. Ce traitement est selon l’article 4 (2) du RGPD toute opération visant, de manière automatisée en tout ou partie ou non, notamment de procéder à la collecte, l’enregistrement, la modification ou encore la suppression de ces données.
LES OBJECTIFS RGPD Le RGPD a entre autre pour but de: Renforcer le droit des personnes concernées par le traitement de données a caractère personnel; D’harmoniser les pratiques de protection de données dans toute l’Union Européenne; Responsabiliser toutes les chaines d’organismes traitant des données personnelles.
CHAMPS D’APPLICATION territorial : territoire de l’Union Européenne matériel : Organisme traitant des données à caractère personnel pour fournir leurs services à leurs clients.
LES OBLIGATIONS DES IC ET IAS Ces deux personnes dans le cadre de la protection des données sont soumis à des obligations: mise en œuvre de mesures techniques et organisationnelles: anonymisation pseudonymisation respecter les principes émanant du règlement.
Respect des principes du RGPD Ces principes sont: La finalité La pertinence du traitement La conservation limité dans le temps Principe de confidentialité Respect du droit des personnes
Le consentement de la personne concernée l’article 4(11) toute manifestation de la volonté libre, spécifique, éclairé et univoque par déclaration ou par acte positif de l’acceptation d’un traitement. Libre: pas valable si forcé; Spécifique: finalité de traitement précisé; Éclairé: identité des responsable de traitement, les risques liées au traitement, droit de la personne concernée; Univoque: acte positif ou déclaration
Le consentement explicite Dans le cadre de données sensibles: nécessité d’une déclaration expresse de consentement par déclaration écrite, un e-mail, un formulaire rempli électroniquement.
Le consentement des enfants les enfants ne peuvent valablement donner leur consentement que s’ils sont âgés d’au moins 16 ans (sauf disposition contraire) âgé de moins de 16 ans la personne qui est titulaire de la responsabilité parentale à l’égard de l’enfant.
Consentement donné avant le RGPD Le G 29 dans le cas de consentement donné après le RGPD, dit que celui-ci n’est valable après l’entrée en vigueur du RGPD que s’il rempli les conditions de ses disposition sinon le responsable de traitement est invité soit à demander à nouveau le consentement de la personne concernée soit d’effectuer le traitement de données sur une autre base juridique.
LA RESPONSABILITE DES INTERMEDIARES (responsables de traitement) lorsqu’ils ont participés au traitement ayant causé le dommage constitutif d’une violation de traitement Sauf preuve contraire.
La responsabilité des sous-traitants Non respect des obligations qui lui incombe agissement en dehors des instructions du responsable de traitement ou contrairement à celles-ci. Sauf preuve contraire.
La mise en conformité La désignation d’un délégué à la protection des données personnelles La cartographie La priorisation La gestion des risques L’organisation La documentation
La mise en conformité au RGPD - la désignation d’un data protection officer ou délégué à la protection des données. Obligatoire dans les structures traitant des données sensibles; prodigue des conseils ; coopère avec les autorités de contrôle; fait le point de contact pour les autorités de contrôle; contrôle le respect du règlement et du droit de l’union ou du droit des Etats membres; sensibilise et forme le personnel participant aux opérations des traitements.
La mise en conformité au RGPD (qualification du DPD) qualités professionnelles en matière de législation européenne et informatique. particulièrement des connaissances en matière de protection de données à caractère personnel. capacité à accomplir les missions qui lui sont données.
La responsabilité du DPD Ne peut être engagée en cas de manquement aux dispositions du RGPD. tenu au secret professionnel ou aux obligations de confidentialité (sanction pénale : un an d’emprisonnement et/ou une amende de 15 000 euros.)
La mise en conformité au RGPD la cartographie : documentation interne et complète de tous les traitements effectués et veiller à ce que ceux-ci respectent les dispositions du RGPD.
La mise en conformité au RGPD La priorisation seulement les données strictement nécessaires à la poursuite des objectifs collectés et traités. - l’identification de la base juridique du traitement; - les sous-traitants doivent connaitre leurs nouvelles obligations et leurs responsabilités en matière de sécurité, de confidentialité et de protection des données traitées. - vérification des mesures de sécurité mise en place.
La mise en conformité au RGPD La gestion des risques éviter d’effectuer des traitements préjudiciables. faire une étude d’impact avant de collecter les données et de procéder au traitement.
La mise en conformité au RGPD L’organisation mise en œuvre des procédures internes pour garantir la protection des données en permanence en tenant compte des risques éventuels.
LA MISE EN CONFORMITTE AU RGPD La documentation. Preuve de conformité au travers d’une documentation adéquate. Les produits à chaque étape doivent être ment Analyses et mises à jour régulière des actions et des documents des données. (conformité avec la loi) notification de violation identification d’une attaque et solution de protection connectée, active sur tous les points critiques de l’infrastructure.
LES DROITS DES PERSONNES. (article 13 à 22 et 34 du RGPD) le droit a l’information: les coordonnées des personnes effectuant le traitement ainsi que celle du DPD; la durée de conservation des données; les autorités à contacter en cas de réclamation. (article 13 du RGPD)
LES DROITS DES PERSONNES le droit d’accès : confirmation que des données traitées ou non traitées, (communication d’une copie). la rectification ou l’effacement des données ou encore de s’opposer au traitement. (article 15 du RGPD)
LES DROITS DES PERSONNES droit a l’oubli: l’effacement de données Retrait de consentement.
LES DROITS DES PERSONNES le droit a la portabilité: la personne concernée a le droit d’obtenir les données qu’elle a fournie à un responsable de traitement.
LE DROIT DES PERSONNES le droit d’opposition: on peut s’opposer à la réutilisation par le responsable du fichier de leurs coordonnées à des fins commerciales, Sauf en cas d’obligation légale.
LES VOIES DE RECOURS devant une autorité contre le responsable de traitement dans l’Etat membre dans lequel se trouve sa résidence, son lieu de travail, ou celui où le dommage à été commis. recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne.
LES SANCTIONS 20 000 000 d’euros ou d’un montant égal à 4 % du chiffre d’affaire annuel mondial total 10 000 000 d’euros ou d’un montant égal à 2% du chiffre d’affaire mondial traitement. Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d'emprisonnement et 300 000€ d'amende.