G.D.P.R / R.G.P.D

By | février 1, 2018

RGPD_GDPR-Blog-ingridmenu

 

Avez-vous remarqué que le monde Digital se développe à vive allure ces dernières années ?

Très certainement.

Ces derniers temps, dans ce microcosme, tout le monde parlent de G.D.P.R / R.G.P.D.

Si vous vous intéressez, comme moi, à la protection des données et son éthique, ces acronymes ont déjà dû arriver à vos oreilles.

Mais, savez-vous de quoi il s’agit exactement ?

À travers ces quelques lignes, je vais tenter de vous expliquer simplement et brièvement les enjeux de cette nouvelle règlementation.

 

Que signifient ces Acronymes ?

 

G.D.P.R (Version Anglaise)     /   R.G.P.D (Version Française)

 

G => Général                            /    R => Règlement

D => Data                                 /     G => Général sur la

P => Protection                       /     P => Protection des

R => Régulation                      /     D => Données

 

Qu’est-ce que c’est exactement le G.D.P.R / R.G.P.D ?

 

C’est un texte de référence Européenne en matière de protection des données personnelles pour les résidents de l’Union Européenne.

 

Pourquoi cette réglementation ?

 

Elle intervient pour harmoniser la gestion des données dans l’ensemble des pays de l’union Européenne.

 

Quand sera applicable le G.D.P.R / R.G.P.D ?

 

Il rentrera en vigueur à partir du 25 Mai 2018

 

Qui est concerné par cette réglementation ?

 

Tout le monde est concerné par le G.D.P.R / R.G.P.D., du simple citoyen Européen aux acteurs économiques et sociaux proposant des biens et services sur le marché de l’Union Européenne.

Par conséquent, dès lors que des activités traitent des données personnelles sur les résidents de l’Union Européenne, les acteurs sont concernés par cette réglementation. Citons pour exemple :

  • Les entreprises,
  • Les entreprises Hors U.E traitant des données de l’U.E,
  • Les associations,
  • Les organismes publics,
  • Les sous-traitants.

 

Quels sont les objectifs et les enjeux du G.D.P.R / R.G.P.D ?

 

Pour les citoyens de l’Union Européenne, le G.D.P.R / R.G.P.D leur donne davantage de contrôle en leur permettant plus de visibilité sur leurs données personnelles. Ainsi, ils pourront connaitre :

  • Quelles sont les données collectées ?
  • À quelle fin ?
  • Leur durée de conservation ?

Pour les entreprises, le principale enjeu sera de savoir à l’instant T où sont les données et comment pouvoir sur simple demande les collecter et les transmettre à la personne concernée. Pour résumer, les entreprises devront à tout moment savoir : 

  • De quelles données, elle dispose,
  • Leur localisation,
  • L’objectif de leur collecte,
  • L’ordre de gestion,
  • L’ordre de stockage, de transfert et d’effacement.

 

Quelles seront les sanctions ?

 

La principale sanction sera financière. Les amendes pourront s’élever à 20 millions d’euros ou, dans le cas d’une entreprise, à 4% du chiffre d’affaires mondial total de l’année précédente (le montant le plus élevé étant retenu). 

Le montant des amendes sera variable selon la nature, la gravité et la durée de la violation et compte tenu de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes affectées et le niveau de dommage qu’elles ont subi.

Le degré de responsabilité du responsable de traitement ou du sous-traitant sera également pris en compte ainsi que les différentes mesures techniques et organisationnelles déjà mises en place pour assurer la conformité de la société.

 

Quels sont les principes à mettre en oeuvre ?

 

Il y a 5 principes à retenir et mettre en oeuvre afin de respecter la réglementation du G.D.P.R / R.G.P.D :

 

  • Accountability ( Responsabilisation ) : l’entreprise doit prendre toutes les mesures pour garantir la conformité au G.D.P.R Elle devra être capable de démontrer qu’elle a bien rempli ses obligations en matière de protection des données, demander lors d’un contrôle de la C.N.I.L ( Commission Nationale de l’Informatique et des Libertés ),

 

  • Privacy by design ( conception de la confidentialité ) : c’est la protection des données personnelles. Elle doit être prise en compte dès la conception des produits ou du service mais aussi dans le système d’information au sein d’une base de données ou lors de la conception d’une application.

 

  • Security by default ( la sécurité par défaut ) : ce principe renforce le rôle de la sécurité dans le système d’information. En effet, le système d’information doit être sécurisé à ses différents niveaux – du physique jusqu’aux logiques – ( ex : contrôle d’accès, système de prévention contre les failles de sécurité ). L’entreprise doit être en mesure de déceler si l’intégrité de son système d’information a été compromis et pouvoir y remédier. 

 

  • D.P.O ( Data Protection Officer ) : assimilé à un délégué à la protection des données. Ce principe doit être associé aux différentes questions et problématique de protection des données à caractère personnel de l’entreprise. Son rôle est de veiller à la conformité au G.D.P.R et d’être le point de contact avec les autorités de contrôle.

 

  • Réalisation d’étude d’impact : le G.D.P.R demande aux entreprises de réaliser une étude d’impact sur la protection des données personnelles avant la mise en oeuvre de nouveaux traitements de donnés qui pourraient potentiellement présenter des risques d’atteinte aux droits et aux libertés individuelles. Le cas échéant, cette étude d’impact devra aussi prévoir les mesures pour diminuer l’impact des dommages potentiel à la protection des données personnelles.

 

Enfin, le 17 Janvier 2018, la CNIL a lancé un appel à la Vigilance concernant la « Mise en conformité RGPD »

 

En effet, des entreprises, en particulier des PME, artisans et commerçants, reçoivent actuellement des appels téléphoniques pour une « mise en conformité » avec le règlement européen sur la protection des données personnelles (dit « RGPD »).

Le message, alarmiste, insiste généralement sur les sanctions financières encourues et sur un prétendu mandat ou recommandation de la CNIL pour agir.

Ces messages peuvent avoir pour but de vous faire appeler un numéro de téléphone surtaxé, de vous faire signer un engagement frauduleux pour une « mise en conformité Informatique et Libertés (ou RGPD) » ou de collecter des informations sur votre organisation pour préparer une escroquerie ou une attaque informatique.

La CNIL n’est, bien entendu, pas à l’origine de telles démarches auprès des entreprises.

 

N’y répondez pas ! En cas de doute, vous pouvez contacter la CNIL au 01 53 73 22 22. 

 

Voilà, après ce petit tour d’horizon, j’espère que vous serez prêt à vous conformer à cette réglementation Européenne de protection des données personnelles en toute Zénitude.

 

Pour plus d’informations, vous pouvez consulter les liens utiles ci-dessous :

2 thoughts on “G.D.P.R / R.G.P.D

  1. Catherine

    Merce pour cette alerte et ces informations tres utiles…

    Reply

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.