LE RGPD Règlement européen sur la protection des données

Présentation au sujet: "LE RGPD Règlement européen sur la protection des données"— Transcription de la présentation:

1 LE RGPD Règlement européen sur la protection des données

2 Règlement Général sur la Protection des Données
I- Qu’est ce qu’une donnée ? Les données à caractère personnel Toute information relative à une personne physique identifiée ou qui peut l’ être, directement ou indirectement (CNIL) ex : données d’identité, messages échangés, pages internets consultés, , téléphone, photo… Cette collecte est légale. Les données dites sensibles Elles concernent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle Par principe, il est interdit, sauf consentement spécifique de les collecter et de stocker des commentaires inappropriés,

3 II – QU’Est-ce QU’UN TRAITEMENT DE DONNEES?
Toute opération ou ensemble d’opérations appliquées à des données à caractère personnel, Quel que soit le procédé utilisé : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication, par transmission diffusion ou toute autre forme de mise à disposition, rapprochement EXEMPLE: Tenue d’un fichier de ses clients, collecte de coordonnées de prospects via un questionnaire mise à jour d’un fichier de fournisseurs ATTENTION: un fichier ne contenant que des coordonnées d’entreprises n’est pas un traitement de données personnelles

4 Quelles données sont traitées ?
Les humains ne pourraient pas les gérer, elles sont trop nombreuses. On a recours à des algorithmes et à l’IA via des mécanismes de machine learning notamment. Plusieurs conséquences : beaucoup de données sont connectées ex - horaires de travail, analyse du sommeil avec les connexions internet, mouvements journaliers, loisirs, goûts: quels restaurants sont fréquentés, etc.) certaines sont utilisées dans un but différent de ce pour quoi elles ont été collectées ex - utilisation des données visibles publiquement sur les réseaux sociaux) elles ne sont pas toujours confiées de manière consciente et volontaire ex - notamment via les objets connectés ex: les jouets connectés pour enfants

5 Que font les entreprises des données qu’elles collectent?
publicités ciblées, marketing décisions automatisées avec de fortes conséquences juridiques (secteur de l’assurance par ex), revente des données, Quelles sont les conséquences néfastes ? atteinte aux libertés individuelles, possibilité de surveillance permanente, vulnérabilité aux cyberattaques.

6 Pourquoi le RGPD ? Protections actuelles dispersées et lacunaires.
Mieux encadrer la libre circulation des données et préserver le respect à la vie privée ; Permettre au consommateur de devenir le propriétaire de sa donnée et exercer un suivi sur celle-ci ; Harmoniser à grande échelle, pour plus de cohérence et d’organisation.

7 Les avantages annoncés du RGPD :
Renforcer la confiance: revalorise votre image d’entreprise sérieuse et responsable Améliorer l’efficacité commerciale: en ayant une gestion rigoureuse de vos données Mieux gérer votre entreprise : avec le temps, le volume augmente. Le principe de « minimisation »des données et l’obligation de tenir à jour la liste de vos fichiers => optimisation des investissements Améliorer la sécurité des données de votre entreprise Rassurer vos clients et donneurs d’ordre et ainsi développer votre activité

8 Qui est concerné par le traitement des données?
Toutes les entreprises dont le siège social se situe au sein de l’UE ou qui en exercent une partie de leur activité et qui collectent des données sur les ressortissants de l’UE. Ainsi que certaines entreprises extérieures : celles dont la Commission européenne a rendu une “décision d’adéquation”, attestant que ce pays assure un niveau de protection des données suffisant. Mécanismes de facilitation mis en place - BCR (Binding corporate rules), clauses type de protection des données, codes de conduite, mécanismes de certification etc.

9 Etes vous en retard ? Assurément, mais :
A 5 mois de l’entrée en vigueur du RGPD : 25 mai 2018 seulement 6% des acteurs concernés sont conformes. 90 % des sites ne demandent pas encore le consentement à la collecte de données personnelles ou cochent encore par défaut (ce qui est interdit avec le RGPD). D’autres ont pris de l’avance : 80% des acteurs sur internet tel que les GAFA et autres réseaux sociaux sont déjà conformes.

10 RGPD EN PRATIQUE Titre 1 - RGPD et conséquences sur les sociétés
Nouveautés du RGPD pour les responsables de traitements La déclaration préalable est supprimée pour être remplacée par un système de contrôle (tenue d’un registre qui doit être mis à disposition de la CNIL à tout moment), Une responsabilité totale pour tous les acteurs traitant de la donnée, qu’ils soient donneur d’ordres ou sous traitants. Le donneur d’ordre devra s’assurer que ses prestataires sont en conformité avec le règlement ET INVERSEMENT. A défaut, il engage sa responsabilité. Le cas des sous-traitants

11 Nomination d’un délégué à la protection des données
Pas d’obligation pour les TPE de nommer Délégué à la protection des données (DPO), sauf si : - autorité publique, - activités de base consistant en des opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées, - activités de traitement à grande échelle de données relatives à des condamnations pénales et à des infractions,

12 La création d’un système de certification
Un registre des activités de traitement doit être tenu par le responsable du traitement et le sous-traitant. Principal outil permettant de prouver le respect des obligations imposées par le RGPD. Il doit être mis à disposition de la CNIL.

13 4 actions principales à mener pour entamer la mise en conformité aux règles de protection des données. Ces actions doivent perdurer dans le temps pour être efficaces

14 1, RECENSEZ VOS FICHIERS identifiez les activités principales nécessitant la collecte et le traitement de données: recrutement, gestion de paie, formation, gestion des badges et des accès, gestion des clients prospects… Se reporter à un modèle de registre : un modèle est donné en fin de dossier Dans votre registre, créez une fiche pour chaque activité recensée en précisant: Objectif poursuivi Catégories de données utilisées Qui a accès aux données Durée de conservation de ces données

15 MINIMISEZ la collecte de données
2. FAITES LE TRI DANS VOS DONNES Pour chaque fiche de registre créée, vérifiez: Que les données sont nécessaires à vos activités Que vous ne traitez aucune donnée sensible Que seules les personnes habilitées ont accès aux données dont elles ont besoin Que vous ne conservez pas les données au-delà de ce qui est nécessaire MINIMISEZ la collecte de données

16 3. RESPECTEZ LES DROITS DES PERSONNES
INFORMEZ les personnes. Cette information doit comporter notamment: Pourquoi vous collectez les données Ce qui vous autorise à traiter ces données Qui a accès aux données Combien de temps vous les conservez Modalités selon lesquelles les personnes concernées peuvent exercer leurs droits PERMETTEZ aux personnes d’exercer facilement leurs droits

17 4. SECURISEZ VOS DONNEES Garantissez l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage. Mise à jour de vos antivirus et logiciels Changement régulier des mots de passe Mots de passe complexes

18 Les sanctions Leur montant est calculé selon plusieurs critères, comme la gravité de la violation, sa durée, le caractère négligent ou imprudent du responsable, son degré de coopération avec les autorités de contrôle etc. Le règlement fixe un plafond, en cas d’infraction l’amende maximale portée à 20 millions d’euros ou 4% du CA mondial annuel, le montant le plus important étant retenu. Si l’on transpose l’amende infligée par la CNIL à Facebook, celle-ci passerait de euros à 1 milliard ! En France, le plafond est pour l’instant fixé à 3 M €. L’entreprise devra être en mesure, A TOUT MOMENT, de démontrer à la CNIL qu’elle est conforme aux nouvelles dispositions. Le délai maximum à respecter est de 72H !

19 Titre 2- LE RGPD pour les personnes
Le droit à l’oubli (article 17 du RGPD) Conditions ? consentement retiré, finalité disparue, traitement illicite, opposition au traitement et aucun motif légitime impérieux de la maintenir etc. Obligations pour le responsable du traitement ? Procéder à l’effacement des données et le prouver, informer les tiers ayant reçu les données concernées afin que tous les liens vers ces données soient supprimés répondre à la demande faite par les proches du défunt pour que les données soient actualisées en conséquence. Sauf si disproportion entre les mesures à prendre pour le responsable de traitement afin procéder à l’effacement des données et l’intérêt de la personne.

20 Le droit à la portabilité des données personnelles
volonté de réduire les coûts pour les consommateurs (ex - s’ils veulent changer d’opérateurs), une personne peut demander à ce que ses données soient transmises à un responsable de traitement tiers, uniquement si cela est techniquement et effectivement possible

21 Le droit d’opposition Si une personne s’oppose au traitement de ses données personnelles, le responsable des traitements doit interrompre le processus et démontrer que le traitement repose sur des motifs légitimes et impérieux. Respect des libertés individuelles - nécessité du consentement

22 CONCLUSION : les 6 BONS REFLEXES de la protection des données:
Ne collectez que les données vraiment nécessaires Soyez transparent Pensez aux droits des personnes Gardez la maîtrise de vos données Identifiez les risques Sécurisez vos données