RGPD- Note de synthèse
Le 25 mai dernier, le Règlement Général de Protection des Données
(RGPD) est entré en vigueur au sein de l’Union européenne. Il s’applique à tous
les organismes (publics et privés) qui traitent des données personnelles des
membres de l’Union Européenne.
Point sur
les objectifs et obligations instaurés par le RGPD.
LES
OBJECTIFS DU RGPD
Ce Règlement vise à créer un
cadre renforcé et unifié de la protection des données tenant compte des
évolutions technologiques et défis qu’elles soulèvent. Le RGPD veut replacer
l’individu au cœur du dispositif légal et conforter ses droits au sein du futur
marché unique du numérique.
Dès lors, il garantit trois
objectifs :
– Renforcer les droits des personnes, via la création d’un
droit à la portabilité des données
personnelles, la consolidation des obligations d’information et d’obtention du consentement, du droit d’accès, de
rectification, d’opposition, du droit à
l’oubli…
– Responsabiliser tous les acteurs traitant des données (acteurs
directs et sous-traitants)
– Permettre une meilleure coopération entre les autorités de
protection des données des Etats-membres
LES
OBLIGATIONS DES ENTREPRISES
Le RGPD consacre deux grands
principes qui doivent être intégrés dans les process et organisations des
entreprises publiques et privées, quel que soit leur secteur d’activité :
- « L’accountability » / responsabilité : le RGPD impacte
non seulement le cycle total de
vie de la donnée, mais également les
devoirs et responsabilités de l’ensemble de la chaîne d’acteurs. Ainsi, les entreprises ont l’obligation de mettre en œuvre des
mécanismes et des procédures
internes permettant de démontrer le respect des règles relatives à la protection des données.
- Le « Privacy by Design »/protection de la vie privée dès
la conception, par défaut : chaque
acteur doit désormais s’assurer de la conformité des traitements qu’il envisage de mettre en œuvre, dès le
moment de leur conception.
De
ces principes découlent plusieurs actions que vous devez mener pour être en
conformité :
- DÉSIGNER UN PILOTE
Pour
piloter la gouvernance des données personnelles de votre structure, vous
aurez besoin d'un véritable chef
d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le
délégué à la protection des données.
Vous
pouvez d’ores et déjà désigner un
« correspondant informatique et libertés », qui vous donnera un temps d'avance et
vous permettra d'organiser les actions à mener.
- CARTOGRAPHIER VOS TRAITEMENTS DE
DONNÉES PERSONNELLES
Pour
mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par
recenser de façon précise vos traitements de données
personnelles. L'élaboration d'un registre des traitements vous permet de
faire le point.
- PRIORISER LES ACTIONS À MENER
Sur
la base de votre registre, identifiez les actions à mener pour vous
conformer aux obligations
actuelles et à venir. Priorisez ces actions au regard des risques que font
peser vos traitements sur
les droits et les libertés des personnes concernées.
- GÉRER LES RISQUES
Si
vous avez identifié des traitements de données personnelles susceptibles
d'engendrer des risques élevés
pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une
analyse d'impact relative à la
protection des données (AIPD).
- ORGANISER LES PROCESSUS INTERNES
Pour
assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes
qui garantissent la prise en compte de la protection
des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au
cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès,
modification des données collectées,
changement de prestataire).
- DOCUMENTER LA CONFORMITÉ
Pour prouver
votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et
documents réalisés à chaque étape doivent être réexaminés
et actualisés régulièrement pour assurer une protection des données en continu.
Fait à Paris,
le 31 juillet 2018
Christian
H. LOURDEAU
Expert-Comptable