Le RGPD
Tous les organismes doivent respecter le Règlement Général de la Protection des Données (RGPD).
Concrètement, en quoi ça consiste ?
Qu'est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai 2018, est un nouvel ensemble de règles qui s’appliquent à toutes les organisations qui traitent les données personnelles.
Mais bon, on suppose que vous le saviez déjà.
Si vous êtes tombé sur notre site, c’est que vous avez forcément déjà entendu parler du RGPD.
Mais, concrètement, dans l’entreprise, comment se traduit-il ?
Qu'est-ce qu'une donnée personnelle ?
Une donnée personnelle correspond à toute information se rapportant à une personne physique identifiée ou identifiable […] directement ou indirectement.
Une personne peut ainsi être identifiée à partir d’une seule donnée (exemple: numéro de sécurité sociale) ou à partir du croisement d’un ensemble de données (Adresse, anniversaire, abonnements.).
Un traitement de données personnelles est une opération ou ensemble d’opérations, portant sur des données personnelles. Et ce quel que soit le procédé utilisé.
On entend par donnée personnelle toute information permettant d’identifier directement (nom, prénom, par exemple) ou indirectement (numéro client, numéro de téléphone, etc.) une personne.
En quoi consiste le RGPD pour un organisme ?
Le RGPD ce n’est pas juste mettre à jour son bandeau de cookies sur son site Web.
C’est un ensemble de documents à rédiger et à tenir à jour afin d’informer les parties prenantes de l’utilisation de leurs données personnelles.
Voici quelques exemples de documents qu’un organisme doit tenir à jour et présenter à la CNIL :
- Documents juridiques (Politique de confidentialité, contrats avec les sous-traitants)
- Les registres (registre des traitements, registre de violation des données, etc.)
- AIPD (Analyses d’Impacts)
- Politique de Cookies (Sur vos systèmes d’informations)
Avoir ces documents ne suffit pas à être en conformité : L’organisme doit également justifier les démarches de collecte et l’utilisation de ces données. Pour cela, il est nécessaire de rédiger un ensemble de procédures et de processus et de les faire appliquer par la totalité de vos collaborateurs et parties prenantes.
Chaque employé, prospect ou client peut demander à tout moment la manière et les données que l’on stocke sur lui. C’est pourquoi il est important que ces documents soient à jour et que ces demandes soient facilement accessibles. La CNIL va contrôler l’ensemble des processus de votre organisme.
Pour être conforme au RGPD, l’organisme doit poursuivre plusieurs objectifs ambitieux :
- Responsabiliser davantage les différentes parties prenantes de votre organisme en développant l’auto-contrôle de la gestion des données personnelles que vous collectez ;
- Renforcer le droit des usagers et des membres de l’organisation : droit d’accès, droit à l’oubli, droit à la portabilité, etc.
Qui est concerné par le RGPD ?
Tout organisme, qu’il soit public ou privé, traitant des données à caractère personnel, doit avoir la capacité de démontrer qu’il respecte la réglementation RGPD.
Autrement dit, en cas de contrôle ou de plainte, il doit pouvoir apporter la preuve de la mise en œuvre des moyens techniques de protection suffisants dans le domaine du traitement interne des données.
Le RGPD concerne donc toutes les entreprises, quelle qu’en soit la taille, les professions libérales et aussi les collectivités et les associations. Néanmoins, force est de constater que la marche à gravir est souvent haute.
Préparer son entreprise, sa collectivité ou son association à la mise en conformité avec le RGPD est, en conséquence, non seulement une obligation légale susceptible de sanctions, mais aussi, une opportunité de sécurisation et de protection de vos données digitales.
Le RGPD et vos sous-traitants, qui est responsable ?
Globalement, le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui produit ou rend un service pour le compte de votre entreprise.
Il est par définition sujet à traiter des données pour le compte de votre organisme (« responsable de traitement »).
Les sous-traitants ont, à juste titre, des obligations concernant les données personnelles. Et celles-ci doivent être présentes dans le contrat :
- Une obligation de transparence et de traçabilité ;
- La prise en compte des principes de protection des données dès la conception et par défaut ;
- Une obligation de garantir la sécurité des données traitées ;
- Un devoir d’assistance, d’alerte et de conseil (par exemple, une procédure de notification des violations de données personnelles doit être notifiée).
La CNIL est catégorique : Si une violation des données à lieu, l’organisme et ses sous-traitants sont co-responsables.
C’est pourquoi il est très important de vérifier les démarches de vos sous-traitants par ce qu’on appelle une Due Dilligence.
Par ailleurs, il est fortement recommandé d’inclure des clauses relatives au RGPD dans le cadre de vos contrats RT-ST fin de vous dégager de toutes responsabilités en cas de litiges.
Vous cherchez à vous mettre en conformité ?
Unitae RGPD vous accompagne dans toutes vos démarches.
N'hésitez pas à nous solliciter afin de découvrir l'ensemble de nos services.