ABONNEZ-VOUS À NOTRE NEWSLETTER

RGPD, découvrez comment être conforme avec le règlement !

Le nouveau règlement RGPD « Règlement Général sur la Protection des Données » est entré en vigueur le 25 mai 2018. On vous en dit un peu plus pour tout comprendre sur ce changement et vous y préparer.

Associations, fondations, bibliothèques… Tous concernés !

Le GDPR pour « General Data Protection Regulation » ou encore en français RGPD « Règlement Général sur la Protection des Données » est un règlement européen qui détaille les nouvelles obligations liées à l’utilisation des données personnelles. Celui-ci est décrit comme la plus grande avancée de ces 20 dernières années, concernant la législation sur les données personnelles et est entré en vigueur le 25 mai 2018.

À cette date toutes les organisations devront à minima avoir entrepris les démarches pour se mettre en conformité avec ce règlement. Il s’applique aux acteurs économiques et sociaux, les entreprises bien sûr mais donc aussi les associations, les fondations, les administrations, les collectivités…

Au fait une donnée personnelle c’est quoi ?

Le RGPD définit une donnée personnelle comme étant « toute information se rapportant à une personne physique identifiée ou identifiable […] directement ou indirectement ». Un simple nom est donc déjà une donnée personnelle. La plus simple et la moins sensible d’une liste infinie qui peut aller d’une adresse postale, d’une photo, d’une taille jusqu’à des données économiques, culturelles, sociales, génétiques… Un grand pas pour tous les citoyens européens.

Cette nouvelle directive est d’abord un grand pas en avant pour les citoyens : l’arrivée de ce règlement sonne la fin d’une période où la protection des données personnelles pouvait être facilement ignorée. Ces informations sensibles étaient jusque-là encadrées par une directive datant de 1995. Elle posait déjà de nombreux principes importants, mais sans sanction claire et écrite avant l’avènement d’internet, des réseaux sociaux, de la géolocalisation…

Cette directive n’était pas transcrite de la même façon dans tous les pays d’Europe d’où la décision de l’Union européenne d’établir cette fois un règlement et non une directive. Le règlement fait directement office de loi dans les 27 pays membres de l’Union européenne.

RGPD qu’est-ce qui change ?

Les 6 principales nouveautés apportées par le RGPD :

1 : Le renforcement des droits des personnes : il impose de recueillir et conserver le consentement au traitement des données personnelles.

2 : L’obligation d’information : il impose aux structures victimes d’un piratage des données personnelles d’informer dans les 72 heures la Commission Nationale de l’Informatique et des Libertés (CNIL) et les personnes concernées dont les informations ont été volées.

3 : Des sanctions lourdes : il met en place des sanctions dissuasives, pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial d'une organisation. Le montant le plus élevé étant celui retenu.

4 : Le principe de minimisation des données collectées : il impose de ne collecter que les renseignements strictement nécessaires au regard des finalités pour lesquelles elles sont traitées.

5 : Le droit de portabilité des données : les personnes, dont les informations ont été collectées, ont le droit de demander à recevoir les données à caractère personnel les concernant.

6 : Le registre des données : il oblige les organisations à tracer l’ensemble des traitements des données personnelles mis en œuvre au sein de l’organisation.

Associations, fondations... Comment m'y préparer ?

Les cibles prioritaires de ce nouveau règlement sont clairement les entreprises qui collectent des données personnelles, parfois très sensibles, à des fins commerciales. Une association sportive locale et sa liste de 150 adhérents avec nom, prénom, adresse et taille (pour les maillots !) n’est clairement pas dans le collimateur direct de la commission européenne mais un règlement fait office de loi et à ce titre chacun doit s’y conformer.

Pour vous y aider la CNIL publie un guide complet rappelant les précautions élémentaires à prendre avant la mise en application du RGPD, des fiches pratiques et outils pratiques pour aider les organisations à se mettre en conformité.

La CNIL met en avant les 6 étapes fondamentales à suivre pour se mettre en conformité :

Désigner un pilote : il s'agira de la personne responsable du traitement de ces données et la mise en conformité de l'organisation.

Cartographier vos traitements de données personnelles : tenir un registre des traitements des données vous aidera à faire le point.

Prioriser les actions : notez les actions prioritaires à mettre en place au regard des risques pris vis-à-vis de la conservation et du traitement de ces données, répertorier les risques potentiels engendrés par les données conservées. (comprendre le type de données traitées, les impacts potentiels du traitement de ces informations sur les droits et libertés des personnes concernées, analyser les mesures prises ou à prendre pour se prémunir de ces risques potentiels (contrôle d'accès, chiffrement...) et leur gravité potentielle.

La CNIL présente quelques outils pour vous aider à analyser vos données dont le tableau ci-dessous :

storage?id=335338&type=picture&secret=2lU9S7VSNm3g37e6pEKXygtis0RNkjVIWnHIJhYK&timestamp=1527854760

Gérer les risques : pour les données susceptibles d'engendrer des riques pour les droits et libertés des personnes concernées, il faudra établir une étude d'impact sur la protection des données.

Organiser les processus internes qui garantiront la protection des données collectées

Documenter la mise en conformité, il s'agit de collecter les documents nécessaires à prouver votre conformité avec le RGPD

Pour plus d'informations sur ces 6 étapes consultez le document : Règlement européen sur la protection des données personnelles se préparer en 6 étapes.

La CNIL précise aussi les mesures à prendre pour se mettre en conformité avec le RGPD dans 17 fiches pratiques :

Sensibiliser les utilisateurs
Authentifier les utilisateurs
Gérer les habilitations
Tracer les accès et gérer les incidents
Sécuriser les postes de travail
Sécuriser l’informatique mobile
Protéger le réseau informatique interne
Sécuriser les serveurs
Sécuriser les sites web
Sauvegarder et prévoir la continuité d’activité
Archiver de manière sécurisée
Encadrer la maintenance et la destruction des données
Gérer la sous-traitance
Sécuriser les échanges avec d’autres organismes
Protéger les locaux
Encadrer les développements informatiques
Chiffrer, garantir l’intégrité ou signer

L’arrivée du RGPD est donc l’occasion pour chaque organisation de faire un état des lieux des données personnelles qu’elle collecte : sur ses bénévoles, ses adhérents, ses employées... Ensuite il faudra s’assurer que le traitement de ces données et les outils utilisés respectent bien les nouvelles règles en vigueur.