+33 1 86 65 20 01

DÉLIVREZ VOS DONNÉES PERSONNELLES !

Vous le savez surement, vos données personnelles sont la cible de tous les composants du Big Data. Elles en sont soit déjà prisonnières, soit en voie de l’être, via les cookies, les formulaires, les trackers, les médias sociaux .

Cet enfermement informationnel avait déjà été perçu en 1978 et la France y avait répondu en créant la CNIL afin que ne soit pas porté atteinte ni à l’identité humaine, ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle fut modifiée en 2004.

L’Union Européenne s’en inspire et légifère en 2016, en mettant à disposition des 28 pays la composant + un 29ème pays tiers, le RGPD. Ce texte devient contraignant pour toutes les structures à partir du 25 mai 2018.

Donc le RGPD s’imposerait à toutes structures – de l’UE + 1 – brassant, traitant et/ou exploitant des données personnelles.

Mais qu’est-ce que le RGPD ?

Comment inscrire ma structure dans le respect du RGPD ?

Autant de questions auxquelles les petits visuels ci-dessous se proposent d’apporter des réponses.

Roger Gérard Patrick DELAUNAY nous explique la démarche permettant d’inscrire votre structure dans la dynamique du RGPD.

Le RGPD initie une nouveauté ontologique ; l’ancienne prérogative de certification de la CNIL, se voit désormais confiée au DPO et donc à la structure. La structure se doit donc d’être dorénavant responsable du cycle de vie des données personnelles qu’elle aura récolté et ceci dans une démarche qualité.

Cette démarche qualité se pensera le plus en amont possible, au temps de la conceptualisation.

Il faudra pouvoir justifier :

  1. de la pertinence et de la légitimité de la collecte des données et s’y tenir,
  2. de leur traitement loyal et licite accompagné d’une information complète, pertinente et préalable (comprenant l’identité du responsable du fichier de données, le caractère facultatif ou non de la collecte de données, le destinataire des données et les droits de l’utilisateur).

Il faudra s’assurer :

  1. du consentement libre, spécifique, positif et explicite de l’utilisateur,
  2. qu’il aura un accès à toutes les informations nécessaires concernant le traitement de ses données, de façon compréhensible et explicite,
  3. qu’il pourra les rectifier ou les effacer,
  4. qu’il pourra retirer son consentement facilement ou limiter leur traitement,
  5. du droit à la portabilité des données,
  6. du droit d’opposition des données,
  7. du droit de ne pas faire l’objet de décisions automatisées,
  8. du droit d’être averti lors de la violation de ses données personnelles,

Il faudra en outre que l’utilisateur ait connaissance :

  1. de ses droits ,de la finalité des traitements de ses données et des procédures lui permettant d’exercer correctement ses droits,

Il serait pertinent à ce stade de définir ce qu’est une donnée personnelle ; selon le RGPD, cela concerne « toute donnée permettant d’identifier directement ou indirectement un citoyen européen ». Si cette définition vous paraît bien large, c’est tout à fait normal ! Cela correspond à l’esprit du RGPD, dont les exigences cherchent à couvrir un maximum de données afin de faire face aux évolutions du numérique

De plus tout traitement de données – effectué par une structure d’au moins 250 employés- devra être mentionné dans un registre du même nom, qui devra comporte les indications suivantes :

  1. Votre nom et vos coordonnées professionnelles, ainsi que ceux du DPO ;
  2. Une description des finalités de la collecte et du traitement des données effectués par votre structure ;
  3. Une description des données traitées et de leurs différentes catégories ;
  4. Une description des utilisateurs fournissant ces données ;
  5. Les informations nécessaires à l’identification du destinataire des données ;
  6. Les délais de conservation des données ;
  7. Une description des mesures prises pour assurer la sécurité des données ;
  8. Si les données sont transférées dans des pays hors UE, le registre des traitements doit mentionner les garanties entourant ces transferts.

Pour les sous-traitant, les informations sont moindres puisque le registre doit ne contenir que les points 1, 3, 7 et 8. Le nom et les coordonnées de ce dernier devront être rajoutées. Finalement tout traitement, toutes procédure devra être tracé et documenté afin de garantir à la structure une sécurité juridique. Ces explications « en amont » sont pertinentes pour les collectes futures, pour celles qui relèvent du passé, une méthodologie à posteriori – qui se superpose à la précédente – s’impose :

  1. cartographier les processus de traitement de données
  2. évaluer l’état actuel de la conformité au RGPD
  3. identifier tous les processus et procédures entourant le traitement des données
  4. réaliser des analyses d’impact pour chaque traitement
  5. catégoriser en fonction du risque juridique
  6. les actions illicites seront les premières à être corrigées

Il apparaît clairement que s’aventurer seul dans les méandres du RGPD nécessite une triple expertise, juridique, informatique, organisationnelle. Je ne saurai donc trop conseiller l’aide d’un cabinet expert en RGPD !…

PAGES DU SITE

Comment se mettre en conformité avec le RGPD 2018 ?

Pour les derniers retardataires, il est désormais temps de se mettre en conformité avec….

L’accountability dans le RGPD ?

La notion d’Accountability n’a pas véritablement d’équivalent en français. Voici quelques explications pour bien comprendre….

L’obligation de notification des violations

Si vous vous apercevez que les données que vous traitez ont fait l’objet d’une violation….

La notion de consentement au coeur du RGPD

L’arrivée du RGPD s’accompagne d’un renforcement du droit des utilisateurs….

La tenue des registres de traitement

Le registre a plusieurs fonctions, dont celle de remplacer les demandes et autorisations préalables auprès de la CNIL….

Le concept du droit des personnes

Le RGPD vient renforcer considérablement le Droit des Personnes dans le domaine de l’informatique….

Le Role de la CNIL à l’heure du RGPD

Les structures sont de plus en plus autonomes et le rôle de la CNIL est appelé à évoluer….

Mesurer les risques grace aux analyses d’impact

La conduite d’analyses d’impacts est une des nouvelles exigences du RGPD. Voici quelques explications….

Protéger les données par la « Privacy by Design »

C’est une notion au cœur du RGPD qui vient hisser le concept de protection des données en amont de toute création de produits,….

Qu’est ce qu’une donnée personnelle ?

A partir de quand une donnée doit-elle faire l’objet d’un traitement spécifique et conforme aux règles européennes ?….

Nous contacter