Règlement Général sur la Protection des Données Personnelles (RGDP)

Le RGDP, s’appliquera dès mai 2018 à toute entreprise européenne qui collecte, traite et stocke des données personnelles.

 

La protection des données personnelles : un sujet de société

85 % des français se disent préoccupés par la protection de leurs données personnelles : paiement en ligne, documents stockés sur des serveurs, publications sur des réseaux sociaux,….Le phénomène d’hyperconnexion (smartphones, domotique, intelligence artificielle sous toutes ses formes) appelle, entre autres, l’adaptation du cadre juridique pour renforcer la protection des personnes.

Le RGDP qu’est-ce que c’est ?

Le 25 mai 2018 l’ensemble des structures et organisations du secteur social et médico-social seront tenues d’appliquer les dispositions du RGDP à l’égard des personnes accueillies ou accompagnées, des salariés, des bénévoles et de tout individu dont elles collecteront des données personnelles. Le règlement porte sur la protection des données personnelles

Une donnée personnelle
= toute information identifiant directement ou indirectement une personne physique (ex. nom, N° immatriculation, n° téléphone, photographie, date de naissance, commune de résidence). Ces données peuvent faire l’objet de traitement = toute opération ou ensemble d’opérations portant sur les données quel que soit le procédé utilisé (ex. fichier excel permettant d’organiser le planning du personnel d’une entreprise, le dispatch des services de transport, l’organisation d’un service de restauration, etc….). Pour chaque traitement il importe d’identifier un responsable. Le responsable du traitement peut être une personne morale ou une personne physique.

 

Le RGDP

  • Responsabilisation : plus de contrôles réalisés par la CNIL en amont. Commanditaire et sous-traitant sont solidairement responsables.
  • Renforcement des droits des personnes : 5 nouvelles dispositions
    1. Consentement explicite, éclairé et traçable
    2. Portabilité des données : possibilité de transférer les données d’un système informatique à un autre (sous réserve de consentement)
    3. Droit d’accès et rectification : possibilité de délégation à une association ou une organisation dans le cadre d’actions de groupe
    4. Droit à l’oubli : possibilité de demander la suppression de toutes les données à caractère personnel
    5. Protection des mineurs avec exigence autorisation parentale pour le recueil des données concernant les mineurs de moins de 16ans
  • Protection : la protection des données doit être intégrée dès la conception du traitement. Tout traitement est réputé assurer la protection des données personnelles. La mise en œuvre de tout traitement présentant un risque élevé doit faire l’objet d’une étude d’impact.

Le règlement institue la désignation d’un DPO : « Data Protection Officer » = Délégué à La Protection des Données.

Obligatoire pour toutes entreprises, il peut être interne à l’entreprise, externe ou mutualisé, il doit posséder des connaissances en matière de protection des données et être à l’abri des conflits d’intérêts (Il ne peut pas être responsable de traitements)

Les missions du DPO : :

  1. Informer, conseiller et accompagner au sein de la structure
  2. Sensibiliser aux enjeux de la protection des données personnelles les salariés comme les « clients »
  3. Superviser des audits internes sur la protection des données personnelles
  4. Conseiller le responsable sur l’opportunité de réaliser une analyse d’impact vie privée (PIA)
  5. Recevoir et répondre aux réclamations relatives à la protection des données
  6. Coopérer avec l’autorité de contrôle (CNIL)

 

QUE FAIRE ?

Le secteur est en retard et très peu de structures tiennent à jour le registre des traitements, moins nombreuses encore les structures qui disposent de procédures !

 

3 Initiatives urgentes

Désigner le Délégué à la Protection des Données (DPO)

Faire l’état des lieux : dresser la cartographie des traitements et évaluer le niveau de sécurité du Système d’Information

Elaborer la feuille de route conduisant à la convergence avec le RGDP

 

L’ACCOMPAGNEMENT

CDA Consultants vous accompagne afin de préparer le diagnostic de votre structure en réalisant un audit sur la gestion des traitements de données personnelles.
L’accompagnement se poursuit dans l’élaboration de procédures nécessaires au bon suivi de la protection des données personnelles.
CDA Consultants vous aide également à former votre personnel afin de sensibiliser chacun sur les enjeux de la protection des données personnelles au sein d’une entreprise.

 

Télécharger la fiche PDF de l’article