6, Rue Adrien Badin 30100 Salindres
04 66 30 80 98
contact@d-clic-informatique.com

Tout savoir sur le RGPD

Created with Sketch.

Qu’est ce que le RGPD ?

Le RGPD (réglementation Général de la protection des données) est une directive européenne qui oblige toutes les entreprises et les administrations, à respecter certaines règles concernant le traitement des données à caractère personnel.

Quel sont les objectifs du RGPD ?

L’objectif du RGPD et de protéger les citoyens européens contre les utilisations malveillantes de leurs données à caractère personnel

Donc le RGPD a pour objectif de protéger notre génération et les générations futures protéger contre toutes organisations malveillantes à plus ou moins grande échelle

Dans quel cas s’applique le RGPD GDPR ?

Le RGPD s’applique à tous les traitements de données à caractère personnel de citoyen européen La seule exception est votre répertoire téléphonique personnel toutes les autres manipulations de données à caractère personnel de citoyens européens y sont soumises

Quelles sont les étapes pour êtres en conformité avec le RGPD ?

Etape 1 : La désignation d’un responsable à la mise en œuvre du plan de mise en conformité

Le responsable compétent et spécialisé dans la mise en conformité de l’entreprise au RGPD Il doit permettre une protection optimale des données personnelles au sein d’une entreprise La désignation d’un DPO est nécessaire et obligatoire pour chaque organisme

Etape 2 : Identification de l’envergure du traitement des données personnelles au sein d’un organisme

L’entreprise doit procéder à une cartographie de l’ensemble des traitements des données inhérent à son activité. Il doit tenir un registre des divers traitements de données personnelles de l’entreprise permettant ainsi de cerner les besoins pratiques de l’entreprise. La classification des traitements permettra d’identifier au mieux les acteurs traitant des données à caractère personnel et d’organiser la protection des données personnelles en fonction des besoins de l’entreprise

L’inventaire doit contenir :

  • -Les différents traitements effectués
  • -Les types des traitements
  • -Les types de données recueillies et utilisées
  • -Les acteurs traitant des données
  • -Les conditions d’exécution du traitement
  • -La durée de conservation des données personnelles

Etape 3 : Etude des risques au sein de l’organisme

L’étape préalable d’identification des traitements de données personnelles permet de pouvoir gérer au préalable les risques éventuels d’une fuite de données personnelles ou de la violation de la protection des données personnelles l’anticipation des risques de violation des données personnelles est cruciale pour chaque organisme une réaction rapide à ce genre d’évènement peut sauver une entreprise des lourdes sanctions que le RGPD prévoit en cas de violation de la protection des données personnelles

Le contenu de cette analyse doit se présenter de la manière suivante :

  • -Une description du traitement et de sa finalité en prenant en compte la nécessité réelle des données personnelles pour l’activité de l’organisme et la proportionnalité de la collecte des données personnelles vis-à-vis de la finalité recherchée dans le traitement des données
  • -Une appréciation de l’utilisation des données par rapport aux droits et libertés fondamentales des personnes concernées permettant la mise en place de mesures permettant de restreindre les risques d’une violation de la protection des données personnelles

Etape 4 : Organisation des procédures internes de mise en conformité de l’organisme au RGPD

La mise en conformité de l’organisme au RGPD engendre la remise en question de la politique de l’organisme vis-à-vis du maniement et de la protection des données personnelles

Attention Il faut que l’organisme priorise ses actions à mener vis-à-vis des étapes précédentes vu ci-dessus chaque étape est cruciale dans la mise en conformité de l’organisme au RGPD. Aucune de ces étapes ne peut être laissée de côté toute l’activité de l’organisme doit être tournée en premier lieu dans une optique de protection optimale des données personnelles la priorisation des actions permet de minimiser les risques que peuvent engendrer le traitement des données sur les droits et libertés des personnes concernées

Etape 5 : Créer un dossier interne de mise en conformité de l’entreprise au RGPD

C’est une documentation nécessaire car elle permet de prouver la conformité d’une entreprise au RGPD toutes les actions menées à chaque étape du processus de l’entreprise dans ses activités doivent y être reproduites et actualisées régulièrement afin de prouver que la protection des données personnelles est assurée en continu au sein de l’organisme
doivent donc y figurer l’ensemble des mesures organisationnelles et techniques utilisées lors des traitements de données personnelles permettant de protéger les données conformément au RGPD

Les mentions devant figurer dans un dossier interne de mise en conformité sont les suivantes :

  • -La documentation concernant les divers traitements de données ; entre autres le registre des traitements ainsi que les analyses d’impact sur la protection des données
  • -L’ensemble des informations concernant les personnes touchées par le traitement des données ; entre autres le recueillement du consentement de ces personnes et les procédures internes encadrant et protégeant les droits de ces personnes
  • -L’ensemble des contrats des acteurs de l’organisme ; entre autres les contrats avec les sous-traitants et l’ensemble des documents permettant de cerner la responsabilité de chacun dans le traitement des donnée

Quelle est le rôle de la CNIL :

CNIL (Commission nationale de l’informatique et des libertés) est l’autorité chargée du contrôle du RGPD et de veiller au respect et à l’application conforme du RGPD le RGPD suit pour cela une logique de contrôle

Elle a donc un devoir de vigilance de dissuasion et de fermeté vis-à-vis des manquements des responsables de traitements et des sous-traitants

Qu’elles sont les sanctions administratives en cas de non respect du RGPD ?

Les sanctions sont réparties en deux groupes en fonction de la durée la nature et la gravité de la violation

Selon la gravité du dysfonctionnement constaté et lié au RGPD, notamment lorsqu’il s’agit d’un des manquements aux obligations suivantes, une amende d’un montant de 2% du chiffre d’affaires mondial pour les entreprises ou 10 millions d’euros d’amende peut être appliquée :

Exemples : l’absence de tenue d’un registre des traitements ou l’absence d’analyse d’impact préalable aux traitements des données personnelles

Dans le cas d’infractions plus graves liées à la mauvaise application ou au non-respect du RGPD, une amende qui correspond à 4 % du chiffre d’affaires mondial s’agissant des entreprises ou 20 millions d’euros d’amende. Les infractions en question doivent concerner les dispositions suivantes :

Exemples : le défaut de consentement dans le cadre du RGPD de la personne concernée par le traitement des données personnelles d’une entreprise, refus de coopérer avec la CNIL après injonctions de celle-ci (exemple : avertissement et mise en demeure de mise en conformité d’un traitement de données au RGPD) ou manque de sécurité et de prudence lors d’un transfert transfrontalier des données personnelles.

Quelles sont les sanctions pénales en cas de non respect du RGPD ?

D’après l’article 84 du RGPD, les Etat Membres peuvent également mettre en place des sanctions supplémentaires en cas de violation du RGPD, en particulier pour compléter le RGPD. Il s’agit surtout de réprimander les violations qui ne font pas l’objet d’amendes administratives au sens de l’article 83 du RGPD.

On les retrouve en France à la section « Des atteintes aux droits de la personne résultat des fichiers ou des traitements informatiques » (articles 226-16 à 226-24) du Code pénal. Il existe donc par exemple une sanction pénale en cas de détournement de la finalité des données personnelles lors d’un traitement de données (Article 226-21 du Code pénal).

Les sanctions pénales peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (Article 226-16 du Code pénal)