Le 25 mai 2018, le règlement général sur la protection des données personnelles entre en vigueur. Découvrez les principes et fonctionnements du règlement qui vise à protéger les citoyens européens de l’utilisation non consentie de leurs données personnelles et les risques encourus en cas de non-respect de ce dernier.
Le règlement général sur la protection des données personnelles : principes et fonctionnements
Avec la médiatisation des cas de ventes de données, on pense être suffisamment éclairé sur ce sujet et tout connaitre du règlement général sur la protection des données personnelles qui doit être mis en place dès le 25 mai 2018. Pourtant, beaucoup d’informations échappent encore à notre vigilance. Découvrez les principes et fonctionnements de ce règlement qui fait de votre vie privée un espace à ne pas violer.
Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle concerne « toute information identifiant directement ou indirectement une personne physique (ex. nom, n° d’immatriculation, n° de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…) » comme le définit la Commission nationale de l’informatique et des libertés (CNIL).
Sensible, une donnée personnelle utilisée de manière frauduleuse peut devenir un souci quotidien.
Voilà pourquoi, un règlement général sur la protection des données personnelles sera rendu obligatoire en France dès le 25 mai 2018.
Que contient ce règlement ?
Adopté le 14 avril 2016, ce règlement à portée européenne (RGPD) porte sur l’ensemble des critères à respecter pour pouvoir utiliser légalement les données des personnes physiques vivant au sein des pays membres de l’Union européenne. Autrement dit, il vise à mieux protéger les ressortissants européens et à les préserver de toute exploitation illégale ou non consentie de leurs données personnelles.
Quelles sont les entreprises concernées par ce règlement ?
Toutes les entreprises, tous les organismes, toutes les associations ayant un système basé sur l’exploitation des données sont concernés par le règlement général sur la protection des données personnelles, et ce, quelle que soit leur taille. Découvrez toute l’actualité des entreprises sur Entrepriseetcompagnie.fr.
Comment se mettre en conformité ?
Si l’on se réfère à la CNIL, toutes les entités devront « assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité ».
Des démarches administratives sont donc devenues obligatoires, tout comme établir une documentation interne précise relative au traitement des données personnelles. Ce document devra, entre autres, classifier l’ensemble des traitements effectués sur les données personnelles et les différents acteurs exploitant ces données.
L’entité doit mettre en place d’autres procédés.
Document de conformité
Ce document doit présenter trois éléments :
- un registre relatif au traitement des données (registre de traitement, PIA, transfert des données hors UE),
- un document présentant les informations sur les individus (mentions informatives, consentements, droits exercés),
- un document relatif aux différents contrats de l’entité (contrats avec les sous-traitants, preuves de consentements, procédures en cas de violation des données).
Désignation d’un délégué
Tous les organismes publics sont dans l’obligation de nommer un délégué à la protection des données.
Pour les autres entités (associations, entreprises…), cette nomination n’est pas obligatoire, mais fortement recommandée.
Établissement de procédures internes
Afin de favoriser un contrôle efficace de la bonne application du règlement général sur la protection des données personnelles, les entités devront aussi mettre en place des procédures internes et accomplir certaines démarches administratives, notamment pour prévoir le traitement des réclamations et anticiper les transgressions possibles, à l’instar du piratage informatique.
Plan d’action
Ce dernier devra classifier les actions en fonction des risques encourus pour la liberté et les droits des personnes en rapport avec l’entité.
Gestion des risques
Une analyse d’impact de l’utilisation des données sur la vie privée des personnes doit être réalisée.
Risques encourus en cas de non-conformité
Passé la date butoir du 25 mai 2018, toutes les entités devront appliquer ce règlement général sur la protection des données personnelles.
En cas de non-conformité, un avertissement sera adressé par l’autorité compétente. Peuvent suivre une mise à demeure, l’interruption des flux de données (en dehors de l’Union européenne) et la limitation temporaire ou définitive des traitements des données.
Une amende de 10 à 20 millions d’euros ou de 2 % à 4 % de son CA mondial peut également être dressée à l’encontre de l’entité ne respectant pas le règlement général sur la protection des données personnelles.