rgpd-banner

NOTIONS CLÉS SUR LE RGPD

  1. Le RGPD (Règlement Général sur la Protection des Données ou GDPR, pour General Data Protection Regulation en anglais), cadre européen réglementaire concernant le traitement et la circulation des données à caractère personnel est entré en application le 25 mai 2018.

    L'article 32 précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Une telle approche permet une prise de décision objective et la détermination de mesures strictement nécessaires et adaptées au contexte.



  2. Plusieurs notions clés énoncées ci-après vous permettront de mieux appréhender les contours du règlement :

    1. Le consentement
      « Le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale  ».

    2. Le « Privacy By Design »
      « Les responsables de traitements doivent mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, dès la conception du produit ou du service  ».

    3. La désignation d’un DPO 
      « Les entreprises traitant des données sensibles et/ou à grande échelle ont obligation de désigner un DPO (Data Protection Officer traduit en français par Délégué à la Protection des Données)  ».

    4. Les données à caractère personnel (DCP)
      Il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable » (…) « noms et prénoms, identifiants, numéros d’identification, téléphones, emails, données comportementales dès lors qu’elles peuvent être rattachées à un individu… » .

    5. Le traitement des données 
      « Désigne la collecte, l’accès, le stockage, la manipulation, la destruction et la consultation à distance des données ».

ACCOUNTABILITY: POUR PASSER DE LA THÉORIE À LA PRATIQUE

  1. Avec la notion dite de « Accountability » (obligation de responsabilité), le RGPD place la protection des données au cœur de la stratégie et de la culture des entreprises.

    Le sujet ne peut donc désormais plus être considéré comme un simple numérique mais soulève la question fondamentale de la confiance. Il est également l’occasion de repenser, au plus haut niveau, les modèles économiques autour de la valorisation de la donnée.

    Article 24  du RGPD – Responsabilité (Accountability) : « (…) le responsable du traitement met en œuvre des mesures (…) organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. »


  2. Ces mesures comprennent:

    1. La mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement

    2. L’application d’un code de conduite ou de mécanismes de certification approuvés

DPO : VÉRITABLE CHEF D'ORCHESTRE DU RGPD

  1. Face à l’ampleur et à la récurrence des actions à mener dans des environnements plus ou moins complexes et décentralisés, le DPO (Data Protection Officer traduit en français par Délégué à la Protection des Données) doit s’appuyer sur des outils opérationnels lui permettant d’orchestrer l’application, le suivi et la vérification des règles encadrant le traitement des données personnelles.

    Article 39 Du RGPD - Mission du délégué à la protection des données (DPO) :
    « Il conseille le responsable des traitements et contrôle le respect du règlement, des réglementations sur la protection des données et des règles internes du responsable du traitement ou du sous-traitant  ».

    Article 30 Du RGPD - Registre des activités de traitement :
    « Chaque responsable du traitement tient un registre des activités de traitements qui décrit notamment les catégories de données à caractère personnel ».


RGPD ET ANALYSE D'IMPACT

  1. Dans le cadre du RGPD, les entreprises doivent mettre en place un dispositif de gestion des risques. L’analyse d’impact fait partie intégrante de ce dispositif. Elle permet de détecter les risques, afin de vérifier s’ils sont acceptables ou non.

    Article 35 du RGPD - Analyse d’impact relative à la protection des données :
    « Le responsable du traitement doit réaliser une analyse d’impact lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.  »

    En outre, l’analyse d’impact relative à la protection des données doit « au moins contenir une description du traitement et de ses finalités, une évaluation de la nécessité et de la proportionnalité des opérations de traitement, une appréciation des risques [...] et les mesures envisagées pour traiter ces risques et se conformer au règlement » .