Le RGPD en une infographie

Les grandes lignes du RGPD

Dès le 25 mai 2018, les entreprises devront :

• Tenir à jour un registre de leurs traitements de données.
• Démontrer la bonne protection de leurs données à la CNIL.
• Documenter la bonne protection de leurs données à la CNIL.

D’ici là, les entreprises sont tenues de matérialiser une cartographie des données qu’elles sont susceptibles de collecter. L’objectif est de se préparer au minimum avant la date fatidique.

Les nouveaux droits des utilisateurs

Les nouvelles règles RGPD sont émises dans le but de donner plus de contrôle aux utilisateurs, concernant leurs données personnelles. Voici les droits que vous devrez impérativement prendre en compte :

• Le droit à la portabilité des données : qui signifie la possibilité de fournir à un responsable du traitement, des données personnelles transmises à un autre responsable du traitement, sans que ce dernier puisse s’y opposer.
• Le droit à un recueil du consentement plus éclairé : le consentement sera clairement établi par une action de l’utilisateur (cocher une case, par exemple). Par ailleurs, ce dernier doit être informé de manière simple et compréhensible, de l’utilisation qui sera faite de ses données. Chaque utilisation doit faire l’objet d’un consentement spécifique.
• L’introduction du principe d’actions collectives : une personne seule peut désormais recourir à des collectifs européens pour agir en son nom, en ce qui concerne ses données personnelles.
• Le droit à réparation des dommages matériels ou moraux : les dommages que peuvent subir les utilisateurs, du fait d’un traitement illicite de leurs données, doivent être réparés par le responsable du traitement de données.

De nouveaux devoirs pour les entreprises

Voyons, en 6 points, les responsabilités qu’impliquent les nouvelles règles RGDP pour les entreprises.

Responsabilités du responsable et du sous-traitant

Les parties (responsable et délégué à la protection des données) devront documenter précisément leurs implications et obligations sur les données, et les définir dans un contrat.

Le sous-traitant, nommé par l’entreprise, permettra au responsable d’organiser les actions à mener pour répondre correctement au règlement RGPD.

Interne ou externe à l’entreprise, le DPO (Data Protection Officer) est chargé de la mise en place et du respect de la réglementation.

Analyse d’impact sur la vie privée

Pour les données personnelles à risques élevés, les entreprises sont tenues de :

• Mettre en œuvre  des études d’impact pour évaluer le traitement des données et les risques pouvant en découler.
• Mettre en place des mesures appropriées et conformes au règlement.

En cas de manquements, des sanctions financières prévues

Les sanctions administratives encourues, en cas de non-respect du règlement, peuvent coûter jusqu’à 20 millions d’euros (ou 4% du chiffre d’affaires annuel mondial dans le cas d’une grande entreprise).

Les pénalités s’appliquent en cas de manquement aux droits des personnes (droits d’opposition, d’accès, de suppression, de rectification, à l’oubli, etc.).

Conception sécurisée

Lorsqu’un nouveau service ou produit est créé, le responsable du traitement doit intégrer immédiatement des mesures techniques et organisationnelles pour en assurer la conformité avec le respect de la vie privée. Ce qui implique des produits et services conformes aux dispositions « informatiques et libertés ».

Déclaration des incidents de sécurité dans un délai de 72 heures

Comme le risque 0 n’existe pas, le RGPD prévoit aussi le cas d’un incident ou d’une faille de sécurité. En cas d’atteinte aux données, les entreprises doivent en avertir les autorités de contrôle compétentes dans les 72 heures qui suivent.

Tenue d’un registre des traitements

Le responsable des traitements a obligation de recenser de façon précise les traitements des données personnelles, d’établir un registre de l’ensemble des traitements. Registre à tenir à la disposition des autorités de contrôle.

Êtes-vous prêt ?

L’infographie sur le RGPD