APAJH Guyane : BP 66 97322 CAYENNE - Tél. : 0594 25 05 05 - Fax : 0594 39 10 48
Association Pour Adultes et Jeunes Handicapés
"Au service de la personne en situation de handicap"

RGPD : on fait le Point avec l’AGENCE RGPD GUYANE

rgpd on fais le point

Le RGPD

Si vous collectez ou bien traitez des données personnelles de vos usagers, alors vous êtes forcément concerné par le RGPD, le Règlement Général sur la Protection des Données, qui s’applique désormais aux organismes publics et privés traitant des données personnelles. Comprendre le RGPD est alors fondamental, afin de prendre les mesures nécessaires à la garantie d’une utilisation respectueuse de ces données et de la vie privée des personnes concernées.

Avant de comprendre ce que le RGPD change désormais pour les professionnels et les sous-traitants, il est important de bien saisir la définition d’une donnée personnelle, mais également le processus de traitement de données, afin de savoir si vous êtes concerné par l’application de ces nouvelles normes européennes.

 

RGPD & conformité RGPD, c’est quoi ?

 

En application depuis le 25 mai 2018, le Règlement Général Européen de Protection des Données (RGPD) s’applique uniformément à tous les Etats membres de l’Union Européenne, dont la France, et leur confère un niveau équivalent de protection des données personnelles. Le RGPD s’inscrit dans la continuité de la Loi Informatique et Libertés de 1978 (principe de finalité, pertinence et proportionnalité, durée limitée, sécurité et confidentialité, respect du droit des personnes), en renforçant les exigences ayant trait à la collecte et au traitement des données personnelles.   L’article 5 du RGPD précise les principes phares : licéité, loyauté et transparence, limitation des finalités, minimisation des données, conservation limitée des données, exactitude des données et sécurité des données. Certaines dénominations ont été modifiées mais ces principes ne sont pas totalement inconnus aux responsables de traitements.   Le RGPD implique la mise en place de nombreux process, dont la nécessité de nommer un Délégué à la Protection des Données (DPO). Cette nomination est obligatoire pour :

  • Les organismes publics,
  • Les entreprises dont l’activité de base amène à :
    • effectuer à grande échelle un suivi régulier et systématique des personnes ;
    • traiter des données personnelles dites sensibles ou relatives à des condamnations pénales ou infractions.

Le respect du RGPD permet de sécuriser efficacement les données à caractère personnel et de prévenir les fuites de données, de renforcer son niveau de cybersécurité et surtout de déployer un process d’amélioration continue.   Être conforme au RGPD garantit un niveau de protection optimal des données personnelles, et contribue à instaurer un cadre de confiance, en rassurant les collaborateurs, les usagers et/ou clients sur la gestion et le traitement de leurs données à caractère personnel.

RGPD, pour qui ?

Sont concernés par le RGPD tous les organismes publics et privés qui collectent et traitent des données personnelles en Europe (petites et moyennes industries, PME, ETI, collectivités, sites internet et e-commerce, cliniques et établissements de santé, sous-traitants…). Le RGPD définit les règles et obligations des responsables de traitement des données personnelles, les droits et les pénalités applicables.   Les principaux acteurs du RGPD sont :

  • Le DPO / DPD (Data Protection Officer / Délégué à la Protection des Données) : chef d’orchestre de la gouvernance des données personnelles, pilote de votre mise en conformité et interlocuteur de la CNIL (attention pour des raisons de conflit d’intérêt, le DPO ne peut pas être une personne de votre service informatique interne ou externe ou le dirigeant).
  • Le Responsable de traitement : personne physique, morale, autorité publique, service ou tout autre organisme, qui détermine les finalités et les moyens du traitement de données à caractère personnel (membre de la direction générale, DSI, DRH…).
  • Le Co-responsable de traitement : personne physique, morale, autorité publique, service ou tout autre organisme, qui détermine conjointement les finalités et les moyens du traitement de données à caractère personnel.
  • Le Sous-traitant : toute personne physique, morale, l’autorité publique, le service ou un autre organisme, qui traite des données à caractère personnel pour le compte du responsable de traitement.
  • La Personne concernée : personne physique dont les données à caractère personnel sont traitées.

Les obligations du RGPD

Vous pouvez collecter et traiter des données à caractère personnel, à condition d’observer les règles imposées par le RGPD. Vous devez notamment :

  • Être capable de prouver votre conformité (accountability, cartographie des traitements de donnéesregistres de traitementPIA…),
  • Prendre les mesures techniques et organisationnelles de protection des données à caractère personnel requises par le RGPD,
  • Respecter les principes du RGPD,
  • Gérer les demandes d’exercice de droits des personnes concernées,
  • Déterminer les responsabilités des acteurs,
  • Pouvoir gérer une violation de données,
  • Assurer la sécurité de vos systèmes d’information…

 

Les droits des personnes

Les personnes physiques sont de plus en plus sensibles à l’utilisation de leurs données à caractère personnel. Le RGPD a renforcé leurs droits, en leur reconnaissant clairement :

  • Un droit d’information clair et simple sur le traitement des données ;
  • Un droit d’information en cas de violation de ses données personnelles ;
  • Un droit de rectification de ses données personnelles ;
  • Un droit à l’oubli permettant de supprimer les données ;
  • Un droit à la limitation du traitement ;
  • Un droit à la portabilité des données (notamment en cas de changement de fournisseur) ;
  • Un droit d’opposition (encadrement du profilage) ;
  • Un droit de retrait de son consentement ;
  • Des dispositions propres aux personnes mineures.

Les sanctions en cas de non-conformité RGPD

 

Organe de contrôle national et garante de la protection des données personnelles, la CNIL est le juge de la conformité. Toute violation de données personnelles représentant un risque pour les droits et libertés des personnes doit lui être notifiée par le responsable du traitement dans les 72 heures. Passé ce délai légal, l’entreprise devra transmettre à la CNIL une argumentation détaillée justifiant du non-respect de la procédure. Si la Loi Informatique et Libertés prévoyait déjà des sanctions administratives et pénales, le RGPD les a renforcées. En cas de non-respect du RGPD, des amendes peuvent être émises, pouvant atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel.

Les étapes de la mise en conformité RGPD

La mise en conformité RGPD nécessite d’établir un état des lieux détaillé des traitements de données au sein de l’entreprise et s’assurer que les données personnelles ne sont accessibles qu’aux personnes disposant des droits appropriés. Une fois l’audit RGPD réalisé, il est nécessaire de définir un plan d’action adapté et de mettre en place le processus de mise en conformité. La mise en conformité avec le RGPD nécessite plusieurs étapes :

  • Réaliser un audit
  • Prioriser et mettre en place les mesures de protection
  • Maintenir et prouver la mise en conformité au RGPD (accountability)

Le DPO – Le Délégué à la Protection des Données

Régis par un code de déontologie, les Délégués à la Protection des Données garantissent la confidentialité, la qualité et l’intégrité de leurs démarches et de leurs conseils. Impliqués et respectueux de la réglementation en vigueur, les DPO sont les gardiens d’une mise en conformité optimale. Ils créent de la valeur en permettant aux organismes d’atteindre leurs objectifs stratégiques. L’éventail des missions et attributions des DPO est large :

⇒ AUDITER ET INFORMER
– Réalisation de l’état des lieux des données personnelles collectées et traitées – Sensibilisation des équipes et diffusion culture de la protection des données – Information et communication auprès des clients, fournisseurs, sous-traitants, partenaires
⇒ CONSEILLER ET CONTROLER LE RESPECT DU RGPD
⇒ GERER LA DOCUMENTATION INTERNE
⇒ COOPERER AVEC LA CNIL

Retrouvez l’intégralité du règlement RGPD sur le site de la CNIL : cnil.fr

 

Sources : https://www.agencergpd.eu/le-rgpd/
https://www.cnil.fr/fr/reglement-europeen-protection-donnees

Copyright Photos : APAJH GUYANE

 

Nous contacter

0594 25 05 05 (CAY) ou 0594 27 25 25 (SLM)

Du lundi au vendredi de 8h00 à 17h30