Infographie : tout ce que vous devez savoir sur le RGPD

Dans cet article, comprenez facilement comment le RGPD peut impacter votre entreprise et comment vous y conformer grâce à une présentation synthétique et un résumé en infographie ! À la fin du billet, retrouvez également le lexique RGPD.

Dès le 25 mai 2018, ce règlement européen sera applicable en France, prolongeant le texte de loi français, la Loi n°78-17 du 6 janvier 1978, la célèbre « Loi Informatique & Libertés ». Ce nouveau règlement vise à poursuivre et garantir les principes de cette dernière et à fournir un cadre lisible pour les acteurs impliqués. Si votre organisation collecte des données personnelles dans le cadre de son activité, elle est concernée par la mise en application du Règlement général sur la protection des données (RGPD) ! 

« L’informatique doit être au service de chaque citoyen […] Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme ni à la vie privée, ni aux libertés individuelles et publiques. »

1. Dans RGPD, il y a « donnée personnelle » 

La CNIL considère une personne comme identifiable lorsqu’un fichier comporte des informations permettant indirectement son identification, par l’intermédiaire de son adresse IP, nom, numéro d’immatriculation, numéro de téléphone, photographie, empreinte biométriques… ou encore tout autre ensemble d’informations permettant de discriminer une personne au sein d’une population (lieu de résidence, profession, sexe, âge…).

2. RGPD : objectifs et droits défendus

Deux objectifs principaux : d’une part renforcer le droit des personnes dont les données sont traitées, et d’autre part responsabiliser les entreprises qui traitent des données grâce à un mécanisme d’« accountability ». source

Droits défendus par le texte

  • Droit à l’oubli : permettant de demander l’effacement des données les concernant.
  • Droit à la portabilité des données : consistant à récupérer des données les concernant dans un format structuré, couramment utilisé et lisible par machine.
  • Droit de limitation : permettant de demander la suspension du traitement des données (et non la suppression).

Les entreprises devront donc adapter leur système d’information afin de pouvoir stocker les données sans que celles-ci fassent l’objet de traitement ou de modification.

3. RGPD : comment y être conforme ?

Le Règlement liste 6 étapes clefs dans la démarche de mise en conformité : en suivant ces étapes pas à pas, votre organisation s’évitera de potentielles sanctions.

Étape 1 – Désignez un pilote de la protection des données

La désignation d’un délégué à la protection des données n’est pas obligatoire pour les structures privées (à l’opposé des entités publiques) : celle-ci dépend de l’activité de l’entreprise vis-à-vis des données personnelles. Si votre activité est fondée sur l’exploitation de données, la question est tranchée : un DPO (Data Privacy Officer) doit être désigné. Dans le cas contraire, si le traitement et l’exploitation de ces données reste secondaire dans votre activité, représente des petits volumes… il n’y a pas d’obligation.

Exemple
Votre société e-commerce utilise régulièrement sa base de données clients pour envoyer des emails commerciaux : elle est concernée !

Étape 2 – Cartographiez vos traitements de données personnelles

Dressez un inventaire : l’idée est de connaître l’étendue des données que votre entreprise traite elle-même, ou traite par l’intermédiaire de ses éventuels sous-traitants. Sans inventaire exhaustif, il sera impossible d’évaluer les impacts du nouveau Règlement. Cet inventaire est désigné par la CNIL sous la dénomination de « registre des traitements ».

Étape 3 – Priorisez les actions à mener

Le registre des traitements constitué sert également de feuille de route pour les actions à mener : les priorités de mise en conformité doivent être évaluées selon les risques liés aux données collectées et à leurs traitements.

Étape 4 – Gérez les risques

9 critères de risques sont liés aux traitements de données sont définis :

  • Évaluation ou notation ;
  • Décision automatisée avec effet juridique ou effet similaire significatif ;
  • Surveillance systématique ;
  • Données sensibles ou données à caractère hautement personnel ;
  • Données personnelles traitées à grande échelle ;
  • Croisement d’ensembles de données ;
  • Données concernant des personnes vulnérables ;
  • Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
  • Exclusion du bénéfice d’un droit, d’un service ou contrat.

Si un traitement rencontre au moins deux de ces critères, il est conseillé de faire une analyse d’impact sur la protection des données (PIA).

Étape 5 – Organiser les processus internes

Assurer un haut niveau de protection des données passe par la mise en place de procédures internes, avec pour objectif d’anticiper l’ensemble des aléas de vie des données personnelles : incidents, demande de rectification, modification, changement de prestataire…

Étape 6 – Documenter la conformité

La preuve de bonne conformité au Règlement passe par la constitution d’une documentation, qui devra bien entendu être tenue à jour régulièrement par le DPO.

4. RGPD : quels impacts concrets ?

Cookies

Le consentement implicite n’est plus suffisant.

Envoi de newsletter suite à l’action de l’internaute

La règle sera dorénavant simple : il faudra obtenir le consentement préalable de l’utilisateur, de manière claire et explicite, et lui permettre de revenir sur cette décision facilement, afin de pouvoir exploiter son adresse e-mail dans un but marketing ou commercial.

Logiciels CRM & RGPD : votre logiciel devra être conforme

Le CRM est un “sous-traitant de données” : vous êtes responsables des données transmises mais aussi de la bonne exploitation de ces données par votre système CRM, en conformité avec le RGPD.

Notifier toute violation de données à caractère personnel

Le texte introduit l’obligation de notification à l’autorité de contrôle (la CNIL) d’une violation de données à caractère personnel, si possible, dans les 72 heures suivant la détection de l’incident.

Le RGPD, ce sont les lois de la robotique appliquées aux données personnelles

Les traitements de données personnelles sont comme les robots chez Asimov :

  • un traitement de données ne peut porter atteinte à une donnée personnelle, ni, en restant passif, permettre qu’une donnée personnelle soit exposée au danger ;
  • un traitement de données doit obéir aux ordres qui lui sont donnés par un être humain, sauf si de tels ordres entrent en conflit avec la première loi ;
  • un traitement de données doit protéger son existence tant que cette protection n’entre pas en conflit avec la première ou la deuxième loi.