C'est quoi le R.G.P.D. ?
Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD est le texte de référence en matière de protection des données au niveau européen. Le règlement a été publié en mai 2016. La version finale du texte, est disponible en français à cette adresse.
Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.
Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.
Le RGPD sera de plus en plus une exigence incontournable de vos clients
..., tous les marchés publics(*) comportant des traitements de données à caractère personnel dont la procédure a été lancée depuis le 25 mai 2018 doivent comporter des clauses relatives aux traitements de données à caractère personnel.
(*) Mais les consultations et marchés privés sont aussi de plus en plus concernés
Par exemple, il est recommandé aux acheteurs publics d’insérer dans leurs contrats publics les clauses adéquates en se référant au clausier type élaboré par la CNIL dans le guide « RGPD : Guide du sous-traitant » (édition septembre 2017).
C'est quoi une "donnée personnelle" ?
Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».
Une personne peut être identifiée :
- directement (exemple : nom, prénom) ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).
Qui est concerné par le R.G.P.D. ?
Le RGPD s'applique à tout organisme quelle que soit sa taille, son pays d’implantation et son activité. Tout organisme public ou privé est concerné du moment qu'il traite des données personnelles pour son compte ou non et qu'il est établi sur le territoire de l’Union européenne, ou que son activité cible directement des résidents européens.
Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.
Est-il obligatoire ?
C'est d'abord un texte de loi adopté par le Parlement européen en 2016 et entré en vigueur en 2018. Il érige un cadre légal de la protection des données à caractère personnel pour l’Europe. Il est donc OBLIGATOIRE de le prendre en considération et de l'appliquer au sein de sa structure. Ne pas appliquer ce règlement peut bien entendu entrainer des sanctions judiciaires, administratives, pénales, d'interdiction d'exercer...
Ok et je fais quoi avec ce règlement ?
Il faut tout d'abord cartographier les traitements sur les données personnelles : LE REGISTRE DES TRAITEMENTS. En d'autres termes, il faut identifier les usages de données à caractère personnel, identifier qui les a enregistrées, à partir de quelle "BASE LÉGALE", qui va déterminer le droit d’utiliser ces données. Il faudra aussi voir si le traitement de données ne présente pas de risque pour les personnes, identifier si les données sont "SENSIBLES" au sens de la loi, "INFORMER" les personnes sur leurs droits, leur donner les moyens de faire appliquer leurs droits. Il faut aussi vérifier que le traitement a bien été défini pour une finalité bien déterminée et que les données collectées ne servent qu'à atteindre l'objectif convenu, pour une durée limitée respectant à la fois les différentes lois françaises, autant que ce peut le besoin du responsable de traitement et les usages préconisés par la CNIL.
Alors c'est simple ?
Oui, le RGPD c'est simple mais il y a beaucoup de choses à faire et il indispensable de prioriser les actions. Donc il faut avoir de la méthode, des outils, une expérience du domaine de la structure si possible, une bonne connaissance des risques, notamment liés à la partie Système d'information, car l'informatique est souvent au cœur du traitement. Il faut aussi une bonne vision des solutions techniques et juridiques pour régler les points névralgiques et enfin fournir autant que possible la culture RGPD et sécurité des données (personnelles entre autres).
Pourquoi choisir DPO Expertises ?
Que vous commenciez votre mise en conformité, que vous soyez très avancé(e)s, mais que vous ayez besoin d'expertise pour répondre à des doutes, ou tout simplement de valider les actions déjà réalisées, nous sommes là, à vos côtés.
Nos consultants RGPD ont été choisis pour leur côté hybride où un savant équilibre s'est créé entre le monde juridique nécessaire à la compréhension des textes règlementaires, mais aussi de l'expertise IT sur la protection des données. Notre objectif est de proposer à nos clients une solution pragmatique, structurée. Nous utilisons une méthode permettant d'identifier le plan d'action le plus optimisé possible, pour réponde à la mise en conformité, la sécurité des données, le budget, le temps qu'il est possible d'y consacrer sans oublier la transmission nécessaire afin de rendre autonome la structure.
Nous travaillons avec des livrables préalablement identifiés avec vous, correspondant à chaque étapes convenues. Pas de mauvaise surprise. Ce qui a été convenu sera fait et documenté afin de vous permettre de faire valoir votre mise en conformité.