Il va y avoir du changement pour les entreprises qui collectent ou traitent des données à caractère personnel ! Eh oui, la loi Informatique et libertés devient le Règlement Général sur la Protection des Données (RGPD). La rédaction a mené l’enquête et vous dit tout ce qu’il y a à savoir sur cette nouvelle réglementation européenne.
Qu’est-ce que le RGPD 2018 ?
Le Règlement Général sur la Protection des Données (RGPD) vient remplacer la loi Informatique et libertés. Signée en 1978, et modifiée à plusieurs reprises pour se conformer aux directives européennes et à l'évolution des usages, la loi Informatique et libertés a instituée la CNIL (Commission nationale de l'informatique et des libertés), administration chargée de veiller au respect des droits et de la vie privée en matière de traitement des données.
Dans le prolongement de la loi Informatique et libertés, le RGPD vise à défendre les droits et libertés des individus par la protection des données personnelles.
"Le présent règlement établit des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données."
"Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel."
Règlement (UE) 2016/679 du Parlement Européen et du Conseil
Source : CNIL
Adopté par le Parlement Européen en avril 2016, le RGPD entrera en vigueur le 25 mai 2018. En France, sa mise en oeuvre est placée sous l’autorité de la CNIL.
Pourquoi une nouvelle réglementation sur la protection des données ?
La mise en oeuvre dès 2018 du RGPD dans l'ensemble des Etats membres de l'UE poursuit plusieurs objectifs :
- Uniformiser la règlementation au niveau européen
- Renforcer le droit des personnes
- Responsabiliser davantage les entreprises en développant l’auto-contrôle
- Pousser au respect des règles en augmentant les sanctions
Qui est concerné ?
Le RGPD touche pratiquement toutes les entreprises. En effet, le règlement s’applique à toutes les entreprises qui collectent ou traitent des données à caractère personnel sur les résidents de L’Union Européenne, soit 99% des entreprises européennes.
C’est quoi une « donnée à caractère personnel » ?
« Toute information se rapportant à une personne physique identifiée ou identifiable »
C’est quoi une « personne physique » ?
« Une personne physique peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »
Désigner un DPO il vous faut !
Autre nouveauté et pas des moindres, les entreprises ont l’obligation de désigner un Data Protection Officer (DPO), aussi appelé Délégué à la Protection des Données personnelles au sein de leurs équipes. Celui-ci remplacera naturellement le Correspondant Informatique et Libertés (CIL).
Le DPO aura en quelque sorte un rôle de « shérif ». Il est impliqué dans tous les sujets et processus qui impliquent un traitement de données à caractère personnel (DCP). Il est en étroite collaboration avec le responsable des systèmes d’informations ainsi qu'avec le service juridique. Il est amené à devenir un élément clé dans les organisations : il s’assurera du respect du RGPD, formera les collaborateurs en interne, réalisera des audits et se placera en tant qu’interlocuteur privilégié de la CNIL.
NB : Le DPO peut également être un consultant externe.
Comment éviter la sanction ?
Les sanctions du non-respect des conditions du RGPD peuvent aller jusqu’à 20 millions d’euros ! Alors soyons vigilants.
Voici six points pour se mettre en conformité d'ici mai 2018 :
- Désigner un pilote au sein de votre entreprise : le DPO
- Cartographier les traitements de données à caractère personnel et tenir un registre des traitements
- Prioriser les actions basées sur le registre des traitements
- Gérer les risques en menant une « EIVP » : étude d’impact sur la vie privée
- Organiser les processus internes en intégrant le RGPD dans tous les processus en place
- Documenter la conformité. Il est important de rassembler les documents prouvant la mise en conformité : EIVP, registre, processus, etc.
Vous souhaitez en savoir plus sur les actions à mettre en place pour sécuriser vos données salariés ?
La digitalisation de vos RH vous permet de sécuriser et fiabiliser le traitement de vos données salariés. Découvrez dans ce guide, comment devenir maître de vos données salariés grâce à la digitalisation.
CNIL et RGPD : ressources utiles
Pour préparer l'entrée en vigueur du RGPD et accompagner les entreprises, la CNIL met à disposition un ensemble de ressources sur son site internet. En voici une sélection susceptible de vous intéresser :
