A la UNE
LE REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES (RGPD), QU EST CE QUE C'EST?
  NOTE D INFORMATION CNAMS D AOUT 2017

 News du 12-09-2017
Il s'agit d'un règlement européen (règlement UE 2016/679 du 27 avril 2016) qui se substitue à la loi Informatique et Libertés de 1978. Il vise à consolider et unifier la protection des données pour les individus au sein de l’Union Européenne. Il est d’application directe, c’est-à-dire qu’il ne nécessite pas de transposition en droit interne, et deviendra effectif le 25 mai 2018. A cette date, l’ensemble des organisations et entreprises traitant ou stockant des données à caractère personnel devront être en conformité.
 
Une donnée personnelle est toute information identifiant directement ou indirectement une personne physique (ex. nom, n° d’immatriculation, n° de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale...).
 
La définition est large, mais elle implique que le RGPD est applicable si et seulement si la donnée est établie comme personnelle. Dans le cas contraire, si les données sont confirmées « anonymes » la réglementation ne s’applique pas.
 
Alors que les obligations des organismes et entreprises au regard de la loi Informatique et Libertés s’appuient en grande partie sur les formalités préalables (déclaration, autorisation), le règlement européen sur la protection des données repose sur une logique de responsabilisation et de transparence, et de lourdes amendes dans le cas contraire.
 
Les responsables de traitements devront mettre en oeuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut (privacy by design). Concrètement, ils devront veiller à limiter la quantité de données traitées dès le départ (principe dit de « minimisation »).
 
Afin d’assurer une protection optimale des données personnelles qu’ils traitent de manière continue, les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (accountability).
 
La conséquence de cette responsabilisation des acteurs est la suppression des obligations déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes.
Toutes les entreprises, quelle que soit leur taille, sont potentiellement concernées mais les procédures et outils à mettre en place pourront être différents.
 
Pour vous aider à identifier l’impact du RGPD, nous vous conseillons de prendre connaissance de l’excellent article de Marie-Claire PEROUX (juriste spécialisée en protection de la vie privée et des données personnelles, cybercriminalité) intitulé : « Suis-je concerné(e) par le RGPD ? » :
Ou encore : « RGPD comment évaluer votre risque ? » :
 

La CNIL indique sur son site internet quels sont les outils et actions à venir, et notamment :
 
* L’envoi de courriers aux organisations professionnelles représentant les secteurs d’activités afin de les sensibiliser aux nouvelles obligations ;
 
* Des contenus spécifiques pour les PME TPE pour lesquelles la gouvernance des données est complexe à mettre en oeuvre (2ème semestre 2017) ;
 
* Un outil proposant aux entreprises concernées une méthode outillée pour réaliser une analyse d’impact relative à la protection des données.
 
Nous ne manquerons pas de vous communiquer ces informations dès qu’elles seront disponibles.

Autres rubriques