ITEM INFORMATIQUE

RGPD

by / Mardi, 15 mai 2018 / Published in RGPD

Nouvelle règlementation RGPD

 

La numérisation des relations entre individus et entreprises pose désormais la question essentielle de la protection des données personnelles

Afin d’éviter toute exploitation marchande de celles-ci, un nouveau règlement Européen vise à réglementer leur usage par les professionnels.

Cette règlementation a pour objet de transférer aux entreprises, associations et organismes publics la responsabilité du traitement des données personnelles et elle s’impose à tous sans seuil d’effectifs.

En résumé, il faut protéger les données personnelles, ne pas les exploiter sans accord, pouvoir faire la preuve de cette protection et enfin démontrer de ces données après usage.

 

Cette nouvelle règlementation prend effet le 25 mai 2018.

Sont visés par la règlementation les entreprises, associations et organismes publics qui traitent des données personnelles d’un résident Européen.

 

Qu’est ce qu’une donnée personnelle ?

  • Une donnée identifiante : Nom, prénom, e-mail nominatif, photo, …
  • Une donnée non identifiante : Numéro de sécurité sociale, empreinte digitale, …
  • Un recoupement d’informations : adresse, filiation, …

 

Qu’est ce que le traitement d’une donnée personnelle ?

Toute opération portant sur des fichiers numériques, bases de données, tableaux excel, dossiers papiers, quel que soit le procédé utilisé : enregistrer, modifier, trier, classer, archiver, conserver, transmettre, échanger, …

 

Toute entreprise détenant des données personnelles devra démontrer :

  • Que l’individu concerné a été informé de son droit d’exiger l’effacement des données personnelles le concernant
  • Que les données traités découlent d’un nécessité stricte eu égard au traitement sui en découle

 

Il y aura donc nécessité de mettre en place :

  • Un registre de traitements cartographiant les traitements existants dans l’entreprise, leur utilité ainsi que les moyens de protection mis en œuvre
  • La notification de failles de sécurité à la Cnil dans les 72 heures après la violation du système
  • Une formation des salariés
  • Un processus interne ainsi que des codes de conduite
  • Une charte informatique incluant des obligations de confidentialité
  • Un suivi régulier
  • Une obligation de protection
  • Un traitement spécifique des archives et de leur destruction

Dans la cas de traitements de données sensibles portant par exemple sur des convictions politiques ou sur la santé, il faudra également s’assurer et faire preuve de la protection des locaux.

 

Nomination obligatoire d’un délégué à la protection des données (DPO) si :

  • Vous êtes une autorité publique ou un organisme public qui traite des données personnelles
  • Vos activités de base consistent-elles en des traitements qui exigent, du fait de leur nature, de leur portée et/ou de leur finalité, un suivi régulier et systématique à grande échelle des personnes concernées
  • Vos activités de base consistent-elles en un traitement à grande échelle de catégories particulières de données ou de données relatives à des condamnations pénales ou à des infractions

 

La sanction pour non respect  de ces obligations peut être lourde

Les autorités de protection peuvent :

  • Mettre en demeure l’entreprise
  • Prononcer un avertissement
  • Limiter temporairement ou définitivement un traitement
  • Suspendre les flux de données
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes
  • Ordonner la rectification ou l’effacement des données

 

S’agissant des amendes administratives, elles peuvent représenter dans le cas d’une entreprise de 2% à 4% du chiffre d’affaires annuel mondial.

Nous vous confirmons qu’en notre qualité de prestataire informatique, nous allons mettre en œuvre cette nouvelle règlementation afin de vous apporter toutes les garanties de traitement et de protection des données personnelles.

La CNIL a fait savoir de la date du 25 mai 2018 n’est pas une date couperet et qu’elle adoptera une position d’accompagnement plutôt que de sanction. Pour autant la mise en conformité est une procédure lourde et exigeante que nous vous invitons à mettre en œuvre sans délai.

 

Vous pouvez vous rendre sur le site de la CNIL pour vos démarches ou demandes de renseignements complémentaires :

https://www.cnil.fr/fr/rgpd-en-pratique

 

HAUT