Le Rglement Gnral sur la Protection des Donnes
- Slides: 9
Le Règlement Général sur la Protection des Données personnelles (RGPD) Page 1 MEDEF – Direction Droit de l’Entreprise – Février 2018
Règlement général sur la protection des données personnelles (RGPD) QUOI ? - adopté le 27 avril 2016 par le Parlement européen et le Conseil de l’UE - directement applicable en France (sans loi de transposition) le 25 mai 2018 - Il remplacera la directive de 1995 (n° 95/46/CE) et prévaudra sur la loi française (y compris la loi de 1978 dite Loi Informatique et Libertés) - Objectifs : harmoniser le droit européen et renforcer la maîtrise des individus sur leurs données dans un contexte de plus en plus numérique QUI ? - Il concerne tous les organismes (grandes entreprises, PME, TPE, associations…). COMMENT ? - Il renforce les obligations des entreprises, tout en les incitant à jouer un rôle actif dans le contrôle de la conformité de leurs traitements (= Accountability). - Nouvelles sanctions / risques : § amende jusqu’à 20 millions € ou 4% du chiffre d’affaire annuel mondial § Risque image / réputationnel 2 MEDEF – Direction Droit de l’Entreprise – Février 2018
Quand le RGPD s’applique-t-il ? Traitement : toute opération sur des données personnelles (collecte, stockage, conservation, utilisation…). OUI NOM IDENTIFIANT PROFESSIONNEL N° SECURITE SOCIALE ADRESSE ELECTRONIQUE DONNEES DE LOCALISATION DONNEES DE CONNEXION DONNEES DE CONSOMMATION RH - Le traitement a lieu sur le territoire de l’UE, ou - Le responsable du traitement ou le sous-traitant sont établis sur le territoire de l’UE, ou - Les personnes concernées par le traitement sont des ressortissants européens. 3 MEDEF – Direction Droit de l’Entreprise – Février 2018 Le RGPD s’applique 2. Quand appliquer le règlement ? Le RGPD ne s’applique pas Donnée personnelle : toute information permettant d’identifier directement ou indirectement une personne physique. PHOTO 1. Des données personnelles sont-elles traitées ? NON
Les principes de la protection des données personnelles Licéité (Fondement du traitement) • Consentement de la personne • Exécution d’un contrat • Exécution d’une obligation légale • Exécution d’une mission d’intérêt public • Poursuite de l’intérêt légitime de l’entreprise • Sauvegarde des intérêts vitaux de la personne concernée 4 (1/2) Loyauté et transparence du traitement Limitation des finalités du traitement • Informer les personnes concernées que leurs données sont collectées • Les informer des finalités pour lesquelles données sont utilisées • Ne pas tromper les personnes sur la destination et la vraie finalité des données • Les données doivent être collectées pour des finalités déterminées, explicites et légitimes • Les données ne peuvent pas être utilisées d’une manière incompatible avec les finalités MEDEF – Direction Droit de l’Entreprise – Février 2018 • Exemples : contrôle d’accès ou vidéosurveillance
Les principes de la protection des données personnelles Minimisation des données • Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement • Exemples : Coordonnées pour la livraison d’un bien acheté sur un site internet > Pas besoin du lieu de naissance ou du numéro de sécurité sociale 5 Exactitude des données • Les données utilisées doivent être exactes et tenues à jour • Les données inexactes doivent être effacées ou rectifiées rapidement • Exemples : fichiers client pour la prospection ou pour les gestion clientèle MEDEF – Direction Droit de l’Entreprise – Février 2018 (2/2) Limitation de la conservation des données • Les données doivent être conservées pendant une durée limitée strictement nécessaire au traitement • Les données ne peuvent être conservées longtemps qu’à des fins de recherche scientifique, historique ou statistique • Attention aux durées légales minimales ou maximales
Ce qui va changer pour les entreprises A. Nouvelle approche pour la conformité : Accountability Interne Les formalités de déclaration à la CNIL sont supprimées L’entreprise doit mettre en place : § une politique interne en matière de protection des données personnelles, § des mesures de traçabilité pour prouver la conformité des traitements, § des mesures appropriées pour assurer, dès sa conception, la conformité d’un traitement (Privacy by design) et des paramètres par défaut protecteurs des données personnelles (Privacy by default). Transparence Sécurité L’entreprise doit assurer un niveau de sécurité approprié pour les traitements et données L’entreprise doit effectuer des analyses d’impact avant la mise en place d’un traitement (si l’analyse révèle un risque élevé pour les données personnelles, l’entreprise devra consulter la CNIL). L’entreprise doit notifier les failles de sécurité (intentionnelles ou accidentelles) touchant aux données personnelles à la CNIL (dans un délai de 72 h de la découverte de la faille) et avertir les personnes concernées dans certaines conditions. L’entreprise (y compris le sous-traitant) de plus de 250 salariés doit tenir à jour un registre de ses traitements (identité et coordonnées du responsable du traitement, coordonnées du DPO, finalités du traitement, données collectées, destinataires données, durée de conservation…). L’entreprise doit vérifier que le traitement est légitime (qu’il repose sur une obligation légale, un contrat ou le consentement) et que les données collectées sont strictement nécessaires au traitement. 6 MEDEF – Direction Droit de l’Entreprise – Février 2018
B. Désignation d’un Data Protection Officer (DPO) Les entreprises doivent obligatoirement désigner un DPO si leurs activités de base consistent : C. Choix des sous-traitants - § en un suivi régulier à grande échelle de données personnelles ; ou § en un traitement à grande échelle de certaines données (origine raciale ou ethnique, opinions politiques, syndicales ou religieuses, données génétiques et biométriques, données de santé). Un même DPO peut être désigné pour plusieurs entreprises. Il peut être salarié ou externe à l’entreprise (avocat, consultant…), mais il doit exercer ses fonctions en toute indépendance. Le DPO doit avoir : - une expertise sur la règlementation et les pratiques en matière de données personnelles, - une compréhension du secteur d’activité, des technologies et de la sécurité des données. - L’entreprise doit choisir un sous-traitant (partenaire ou prestataire) qui assure des garanties de protection suffisantes dans le traitement des données personnelles. La relation entre l’entreprise et son sous-traitant doit être obligatoirement régie par un contrat. Le sous-traitant doit, sous peine d’engager sa responsabilité à l’égard du responsable de traitement : § traiter les données personnelles selon les seules instructions du responsable de traitement § permettre au responsable du traitement d’effectuer des contrôles de conformité § prendre les mesures de sécurité appropriées § ne pas lui-même sous-traiter sans le consentement préalable écrit du responsable du traitement § avertir le responsable du traitement le plus tôt possible de toute violation de données. Il a pour mission d’informer et de conseiller l’entreprise et de veiller à la conformité de la réglementation en matière de données personnelles, mais il n’est pas responsable. 7 MEDEF – Direction Droit de l’Entreprise – Février 2018
Quels sont les droits des personnes concernées par un traitement ? La personne concernée a le droit de : § Être informée de l’existence d’un traitement de données personnelles au moment de la collecte de leurs données par le responsable du traitement. § Accéder à ses données : la personne a le droit d’obtenir la confirmation du traitement de ses données et de recevoir copie de toutes les informations la concernant. § Faire rectifier ses données : la personne a le droit de demander la rectification de ses données. § Demander la portabilité de ses données : la personne a le droit de récupérer les données personnelles la concernant qu’elle a elle-même fournies au responsable du traitement, dans un format ouvert et lisible, ou de demander qu’elles soient transmises directement ces données à une autre entreprise. § S’opposer au traitement de ses données, y compris la prospection commerciale, à tout moment. § Faire supprimer ses données (droit à l’oubli) : la personne a le droit d’obtenir la suppression de ses données personnelles. Le RGPD ne s’applique pas aux données des personnes décédées. L’entreprise doit permettre aux personnes d’exercer gratuitement l’ensemble de ces droits et elle doit répondre dans un délai d’un mois maximum. La personne peut introduire une réclamation directement auprès de l’entreprise, mais elle peut également déposer une plainte auprès de la CNIL ou des tribunaux (civils et pénaux). 8 MEDEF – Direction Droit de l’Entreprise – Février 2018
Eléments encore manquants aujourd’hui : ü Révision de la loi Informatique et Libertés de 1978 ü Certaines lignes directrices du G 29 (Groupe des 28 CNIL européennes) Actions du MEDEF : Outils d’accompagnement à destination des entreprises : ü Outil d’auto-évaluation (DIAG RGPD) => Disponible : http: //rgpd. medef. com ü Développement d’un MOOC (Mon Campus Numérique) => Fin février / Début mars ü Elaboration d’un guide pratique => Premières fiches disponibles sur le site internet du MEDEF Sensibilisation : colloque sur le RGPD le jeudi 5 avril 2018 à 16 h. 9 MEDEF – Direction Droit de l’Entreprise – Février 2018
