Adeo-informatique à Perpignan, analyse et décortique le nouveau RGPD ou Règlement Général pour la Protection des Données.

Le 28 mai 2018, entre en vigueur la nouvelle règlementation Européenne sur la protection des don­nées à caractère personnel. Il est long, complexe et demande quant à sa mise en œuvre, un important travail de précision.
S’agissant d’un règlement adopté par le Parlement Européen, celui-ci ne néces­site pas de transposition pour les états membres. Il est appliqué directement dans tous les pays de l’Union Européenne.
L’architecture de cette loi reste celle du 6 janvier 1978 dite Loi Informatique et Li­bertés, modifiée par la suite, et plus par­ticulièrement par le texte dénommé « Loi pour la république numérique du 7 oc­tobre 2016 ».
La mise en œuvre de ce nouveau règle­ment européen s’impose à toutes les en­treprises qui collectent des données à ca­ractère personnel ainsi, deux définitions s’imposent immédiatement, l’une sur la donnée à caractère personnel, l’autre sur la notion de traitement de cette donnée.
Tout d’abord, qu’est-ce donc qu’une donnée à caractère personnel?
Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable.
« personne physique identifiable » : celle qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numé­ro d’identification, des données de locali­sation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identifié physique, physiologique, gé­nétique, psychique, économique, culturel ou social.
A titre d’exemple, l’adresse IP est consi­dérée comme un élément d’identification.

Qu’est-ce qu’un traitement de données RGPD?

Il s’agit de toutes opérations ou ensemble d’opérations effectuée ou non à l’aide de procédé automatisé, et appliqué à des données ou des ensemble de données à caractère personnel, telle que la collecte, l’enregistrement, l’organisation, la structu­ration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par trans­mission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’inter connexion, la limitation, l’efface­ment ou la destruction. La notion de données à caractère person­nel, ainsi que celle de traitement étant précisé, il convient d’envisager des cas autorisés de traitement des données per­sonnelles (article 6 du RGPD).
En ce qui concerne les grands principes de traitement des données personnelles, ces derniers restent inchangés au regard de des textes applicables.
Par ailleurs, le règlement européen relatif à la protection des données personnelles impose un nouveau régime de responsa­bilité.
Jusqu’au 28 mai 2018, les entreprises qui collectent des données person­nelles doivent, selon le cas, effectuer des formalités déclaratives auprès de la CNIL.
De son côté, le nouveau règlement euro­péen repose non pas sur « des formalités déclaratives », mais sur une logique de conformité. Chaque acteur (responsable de traitement ou sous-traitants) est res­ponsable du traitement qu’il effectue, et se doit de mettre en œuvre les mesures appropriées. techniques et organisation­nelles. pour s’assurer que les traitements sont conformes à la réglementation.
Avant la mise en œuvre du RGPD, règle­ment, seul le responsable du traitement était responsable vis-à-vis des personnes. Il pouvait éventuellement se retourner contre le sous-traitant pour engager sa responsabilité si la non-conformité prove­nait d’un manquement. À compter du 28 mai 2018 le principe de solidarité des ac­teurs vis-à-vis des personnes concernées est acquis.
Dorénavant la victime peut demander ré­paration de la totalité de son préjudice tant auprès du responsable du traitement que du sous-traitant (article 82.4). Ain­si le responsable du traitement et /ou le sous-traitant encourt l’amende adminis­trative (2% CA mondial) (article 83.4). Ainsi la responsabilité du sous-traitant est engagée s’il n’a pas respecté ses obliga­tions légales, ou s’il s’agit en dehors des instructions licites du responsable du trai­tement ou contrairement à celles-ci.

Les nouvelles obligations de la RGPD

Au-delà des notions juridiques qui pré­cèdent, le règlement Européen prévoit de réelles nouveautés tant pour les particu­liers que pour les entreprises.
En ce qui concerne les particuliers, le nouveau règlement prévoit un droit à la portabilité, mais aussi a droit à l’oubli.
En ce qui concerne les entreprises, pour toutes celles qui ont plus de 250 per­sonnes, elles devront désigner un délégué à la protection des données (DPO).
C’est un nou­vel acteur qui intervient. Il peut être ex­terne ou interne à l’entreprise. Parmi ses missions essentielles, se trouvent pêle­mêle : informations et conseils ; contrôle du respect du règlement et des autres dispositions applicables ; contrôle des règles internes de l’entreprise; conseils et vérification de l’exécution des analyse d’un pacte devant être réalisé ; coopéra­tion et contact avec l’autorité de contrôle qui reste la CNIL ; informations à l’égard des personnes concernées, …
Ainsi, le DPO est l’homme clé qui permet d’obtenir la certification de la mise en conformité et devient garant du bon usage du RGPD.
La seconde grande innovation pour les en­treprises, concerne la tenue d’un registre relatif aux activités de traitement.
Cette nouvelle obligation s’impose à toutes les entreprises quelques soit leur qualité (responsable de traitement ou sous-traitants).
Cependant. cette obligation ne s’applique pas aux entreprises ou organisations em­ployeur moins de 250 personnes sauf si les traitements qu’elle réalise sont : « sus­ceptible de comporter un risque pour les droits et libertés des personnes concer­nées, et si ils ne sont pas …
À fin de mettre en œuvre l’ensemble des chantiers nécessaires à la mise en conformité avec le règlement européen de protection des données personnelles, il convient préalablement, de réaliser une « photographie » de la situation de l’en­treprise par un prestataire informatique et juridique.

Les éléments à examiner pour la RGPD

Présentation de l’organisation interne afin d’identifier clairement ses diffé­rentes entités et services.
Communication de l’état préalable de « l’existant » : Documents type déjà mis en place, formalités effectuées auprès de la CNIL, outils informatiques.
État global et préalable des grandes catégories de traitement de don­nées réalisés par l’entreprise .
Établissement d’une feuille de route pour la réalisation d’un audit Mise en place d’un orga­nigramme avec la désignation du pilote de projet et le res­pect des responsables de service ayant vocation à in­tervenir dans le cadre du projet. Ensuite et simplement, la mise en conformité peut être réalisée avec un partenaire tel que ADEO informatique à Perpignan.