FAQ

Une question sur le RGPD ? dpo conseils vous répond.

Qu'est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (RGPD en français, GDPR en anglais) est le dernier texte européen de référence pour la protection des personnes physiques concernant le traitement de leurs données à caractère personnel (règlement UE n° 2016/679).
Le règlement définit les droits de ces personnes physiques, et les obligations que doivent respecter les organisations qui manipulent leurs données (on parle de traitement au sens large : manuel ou automatique, et de toute forme d’utilisation, y compris le stockage).
On considère comme « donnée à caractère personnel » toute information propre à une personne qui permet de l’identifier. Il peut s’agir d’un nom, d’un numéro de téléphone, d’une photo, d’une adresse e-mail, etc.
Qu'est-ce qui change avec le RGPD ?
La réforme de la protection des données poursuit trois objectifs :
1. Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures.
2. Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants).
3. Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
Que devient la loi Informatique et Libertés ?
Une nouvelle loi Informatique et Libertés a été publiée au Journal Officiel le 21 juin 2018 pour régler diverses situations :
• La transposition à venir de la directive européenne dite police justice ;
• L’organisation et le fonctionnement de la CNIL, tout particulièrement s’agissant des éléments de procédure au niveau national,
• Les spécificités nationales permises par le Règlement européen en matière de données sensibles (données biométriques, de santé, sur l’origine ou les appartenances politiques, religieuses, la santé et la vie sexuelle), de traitements répondant à des missions d’intérêt public (par exemple pour la protection sociale ou la santé publique) ou encore pour les situations particulières de traitement (numéro de sécurité sociale, relations de travail).
Quelles sont les sanctions ?

Depuis le 25 mai 2018, la CNIL peut infliger des sanctions concernant des manquements RGPD.
Elles peuvent être de plusieurs sortes :
Pécuniaires : Les amendes peuvent s’élever à 20 000 000 d’euros ou, dans le cas d’une entreprise, à 4% du chiffre d’affaires mondial total de l’exercice précédent (le montant le plus élevé étant retenu). Le montant des amendes sera variable selon la nature, la gravité et la durée de la violation et compte tenu de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes affectées et le niveau de dommage qu’elles ont subi. Le degré de responsabilité du responsable de traitement ou du sous-traitant est également pris en compte ainsi que les différentes mesures techniques et organisationnelles déjà mises en place pour assurer la conformité de la société.

Image ternie : Un avertissement, qui peut être rendu public.
Dans l’hypothèse où le Président de la CNIL a, au préalable, prononcé une mise en demeure, et que le responsable de traitement ne s’y est pas conformé, la formation restreinte peut prononcer, à l’issue d’une procédure contradictoire.

Impact sur l’activité : Une injonction de cesser le traitement.

Qu'est-ce qu'un DPD ou bien un DPO

Avec une fonction située au cœur de la conformité au règlement européen sur la protection des données (RGPD), le délégué à la protection des données (DPO) conseille et accompagne les organismes qui le désignent dans leur conformité.
Le Délégué à la protection des données peut être Interne ou Externe à l’organisme qui le désigne et sous certaines conditions mutualisées (désigné par plusieurs organismes).
Il est principalement chargé de :
• Informer, conseiller et accompagner au sein de l’organisme qui le désigne afin de faire respecter le règlement européen et le droit national en matière de protection des données personnelles.
• Sensibiliser au sein de sa structure aux enjeux de la protection des données personnelles des employés comme des clients.
• Superviser des audits internes sur la protection des données personnelles.
• Conseiller le responsable sur l’opportunité de réaliser une analyse d’impact vie privée et en vérifier l’exécution.
• Recevoir et répondre à toute question ou réclamation relative à la protection des données.
• Coopérer avec l’autorité de contrôle (en France, la CNIL) et être son point de contact au sein de sa structure.
A savoir : Le Délégué à la protection des données n’est pas personnellement responsable en cas de non-conformité de l’organisme avec le règlement européen.

Doit-on désigner un DPO ?

La désignation d’un Délégué est obligatoire pour :
Les autorités et organismes publics (par exemple, les ministères, collectivités territoriales, établissements publics).
• Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Par exemple : les compagnies d’assurance ou les banques pour leurs fichiers clients, les opérateurs téléphoniques ou les fournisseurs d’accès internet.
• Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale) ou relatives à des condamnations pénales et infractions.
Dans les autres cas, la désignation d’un Délégué à la protection des données est encouragée par la CNIL.

Qu'est-ce qu'un responsable de traitement ?

Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens.
En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.

Qu'est-ce qu'une donnée sensible ?

C’est une information qui révèle les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle d’une personne physique.
Il est interdit de recueillir et d’utiliser ces données. Sauf dans certains cas précis et notamment :
• Si la personne concernée a donné son consentement exprès (écrit, clair et explicite).
• Si ces données sont nécessaires dans un but médical ou pour la recherche dans le domaine de la santé.
• Si leur utilisation est justifiée par l’intérêt public et autorisé par la CNIL.
• Si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.
A noter : Les informations relatives aux infractions ou condamnations ne sont pas considérées comme des données sensibles mais elles font l’objet de la même protection. Seules les juridictions et certaines autorités publiques peuvent les utiliser, ainsi que la personne morale victime dans le cadre de la défense de ses intérêts.

Qu'est-ce que l'accountability ?

L’Accountability est l’une des notions les plus importantes du RGPD.
Pour faire simple, c’est un ensemble de bonnes pratiques destinées à améliorer la protection des données et permettant de démontrer aisément l’efficacité des mesures prises.
Elle est une obligation qui pèse au responsable du traitement. Elle lui impose de revoir l’ensemble des règles internes de l’entreprise pour pouvoir mettre en place de nouvelles, offrant une plus grande protection des données personnelles.
Cette réorganisation doit aussi permettre de démontrer aisément le respect du RGPD.

Qu'est-ce que le Privacy By Design ?

Le Privacy by Design est l’une des notions au cœur du RGPD, c’est un concept qui impose aux entreprises d’intégrer les principes du RGPD dès la conception d’un projet, d’un service ou de tout autre outil lié à la manipulation de données personnelles.

Le concept de Privacy by Design n’est pas nouveau. Il a été créé vers la fin des années 90 au Canada par Mme Ann CAVOUKIAN (commissaire à l’information et à la protection de la vie privée de l’Etat d’Ontario). L’idée étant d’imposer que chaque nouvelle technologie destinée à traiter les données personnelles soit conçue de manière à offrir un haut niveau de protection des données.
Ce concept est une réponse à l’automatisation du traitement des données personnelles et à la quantité de plus en plus importante de données manipulées par les entreprises (ne nécessitant souvent pas une intervention humaine). Le Privacy by Design est une mesure préventive ayant donc pour but de limiter les risques d’abus et de violation des données.

Il est basé sur 7 principes :
• Conception de mesures préventives et proactives.
• Protection par défaut (Privacy by default).
• Prise en compte des règles sur la protection de la vie privée dans la conception des produits et durant leur utilisation.
• Protection optimale et intégrale.
• Assurer la sécurité tout au long de la conservation des données.
• Visibilité et transparence.
• Respect de la vie privée des usagers et/ou des cibles du service.

En réalité, ce sont ces principes qui sont repris dans le RGPD, avec bien évidemment des applications plus concrètes :
• Réduction des traitements de données à caractère personnel
• Pseudonymisation
• Transparence des traitements
• Limitation des risques de fuite
• …