RGPD, quatre lettres qui résonnent chaque jour un peu plus dans les couloirs de la DSI. Paru au JO le 4 mai 2016, le Règlement Général sur la Protection des Données (RGPD) renforce la protection des données personnelles traitées par les entreprises. Ces dernières ont jusqu’au 25 mai 2018 pour se mettre en conformité, sous peine de sanctions.

Les objectifs du RGPD

Les objectifs de ce nouveau texte sont multiples :

• Renforcer les droits et la protection des résidents européens vis-à-vis de leurs données personnelles, notamment par l’exigence d’un consentement formel, la création d’un droit à la portabilité des données personnelles, et le droit à l’oubli ;
• Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
• Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Les Données à caractère personnel (DCP)

Selon la définition précisée à l’article 4 du RGPD, une Donnée à Caractère Personnel (DCP) représente « Toute information se rapportant à une personne physique identifiée ou identifiable ». De plus, « Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Nous connaissons tous de nombreux exemples de DCP : nom, prénom, coordonnées bancaires, date/lieu de naissance, empreintes digitales, plaque d’immatriculation, adresse email, numéro de sécurité sociale, …

Quelques articles majeurs du RGPD

Ce nouveau règlement impacte la gestion des données personnelles sur de nombreux aspects précisés dans les articles indiqués ci-dessous.

Chapitre du Règlement	Principaux articles
2 – Principes	Article 5 : Principes relatifs au traitement des données à caractère personnel Article 6 : Licéité du traitement (consentement) Article 7 & 8 : Conditions applicables au consentement
3 – Droits de la personne concernée	Section 2 : Information et accès aux données personnelles (langage simple et clair) Section 3 : Rectification et effacement (« droit à l’oubli« , droit d’opposition, portabilité des données)
4 – Responsable du traitement et Sous-traitant	Article 25 : Protection des données dès la conception et protection des données par défaut Article 28  & 29 : Sous-traitance Article 30 : Registre des activités de traitement Article 32 : Sécurité du traitement Article 33  & 34 : Notification d’une violation de données à caractère personnel Article 35 : Analyse d’impact relative à la protection des données Article 37 à 39 : Le délégué à la protection des données (DPO)
5 – Transfert de DCP vers pays tiers	Article 44 : Principe général applicable aux transferts Article 47 : Règles d’entreprise contraignantes Article 49 : Dérogations pour les situations particulières
8 – Voies de recours, responsabilité et sanctions	Article 77 à 79 : Droit à réclamation et recours Article 83 : Conditions générales pour imposer des amendes administratives

Des sanctions encadrées, graduées et renforcées

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement. Les autorités de protection peuvent notamment :

• Prononcer un avertissement ;
• Mettre en demeure l’entreprise ;
• Limiter temporairement ou définitivement un traitement ;
• Suspendre les flux de données ;
• Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
• Ordonner la rectification, la limitation ou l’effacement des données.

S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Le Data Protection Officer (DPO)

Successeur du « Correspondant Informatique et Libertés » (CIL), le Délégué à la Protection des Données ( ou Data protection Officer) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.

La désignation d’un délégué est obligatoire pour :

1. Les autorités ou les organismes publics,
2. Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
3. Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Au sein de chaque organisme concerné, le DPO sera le chef d’orchestre de la conformité. Il devra être consulté sur tout traitement de données à caractère personnel.

Se préparer à l’entrée en vigueur du RGPD

Une bonne préparation à l’entrée en vigueur du RGPD doit s’appuyer sur plusieurs étapes indispensables :

• Identifier un « chef d’orchestre » pour ce projet d’entreprise : le Data Protection Officer (DPO)
• Cartographier vos traitements manipulant des données à caractère personnel
• Réaliser une analyse de risque (Privacy Impact Assessment ou PIA) pour chaque traitement identifié
• Prioriser les actions à mener selon le niveau de risque identifié pour chaque traitement
• Organiser les processus internes afin de garantir la prise en compte à tout moment de la sécurité des données à caractère personnel
• Constituer et regrouper la documentation nécessaire pour prouver votre conformité au règlement