Vous êtes ici : > >

- +

25 mai 2018 : entrée en vigueur du RGPD (Règlement Général pour la Protection des Données)

Le 25 mai 2018, un nouveau règlement appelé RGPD (Règlement Général pour la Protection des Données personnelles) entre en application au niveau européen concernant la protection des données personnelles. L’actualité récente a montré l’intérêt de la mise en place d’une régulation telle que celle offerte par le RGPD – en anglais GDPR (pour General Data Protection Regulation).

Le développement des technologies CLOUD, la montée en puissance des réseaux sociaux et la mise à disposition d’applications « gratuites », notamment sur Smartphone, qui exploitent, voire monétisent les données personnelles qu’elles collectent, renforcé par la cyber sécurité,  donnent du sens à cette nouvelle réglementation.

Une donnée personnelle est une information associée à une personne physique telle que le nom, prénom, adresse, mais également une adresse mail, un numéro de sécurité sociale, une donnée de géolocalisation, une plaque d’immatriculation d’un véhicule professionnel, des photos ou vidéos…

Le champ d’application  de cette nouvelle règlementation est extrêmement large, toutes les entreprises sont concernées et impactées.

Le RGPD s’applique à toutes les entreprises, associations et organisations qui proposent des produits et services (activités professionnelles ou commerciales) aux citoyens résidants dans l’Union Européenne.

Cette réforme sur la protection des données répond à plusieurs objectifs :

7278169272_320_rgpd.jpg
  • Renforcer les droits des personnes concernant l’utilisation de leurs données personnelles,
  • Responsabiliser les acteurs qui utilisent et traitent des données personnelles (responsables de traitements et sous-traitants),
  • Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Les grands principes du RGPD sont les suivants :

  • Principe de transparence (les données doivent être traitées de manière loyale, licite et transparente),
  • Principe de limitation des finalités : les données ne doivent être collectées que pour des finalités déterminées, explicites et légitimes (obligations légales, activité métier) et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités,
  • Principe de minimisation des données personnelles collectées (seules les données réellement utiles peuvent être stockées),
  • Principe d’exactitude des données : les données traitées doivent être exactes et mises à jour régulièrement (rectification, voire effacement),
  • Principe de sécurité, d’intégrité et de confidentialité des données : les données doivent être traitées de façon à garantir une sécurité appropriée des dites données au moyen de mesures techniques ou organisationnelles appropriées,
  • Principe de limitation de la conservation des données : conservées uniquement pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Les droits principaux des personnes Physiques concernées par un traitement de données personnelles sont :

  • Consentement explicite préalable ou mentions lors de la collecte de données,
  • Droit d’accès à leurs données des personnes concernées,
  • Droit de rectifications (données inexactes ou incomplètes),
  • Droit à l’effacement,
  • Droit à la limitation du traitement,
  • Droit à la portabilité des données,
  • Droit d’opposition (sur traitement sous conditions),
  • Interdiction de traitements sur des données sensibles (sauf autorisation) telles que données raciales, philosophiques ou ethniques, opinions politiques ou religieuses, données génétiques ou de santé, appartenance syndicale, données concernant la vie. Ces données peuvent faire l’objet d’une étude d’impact avec demande d’acceptation du traitement auprès de la CNIL.

Où se trouvent les données personnelles qui peuvent vous concerner ?

  • Utilisées sur vos systèmes et chez vos sous-traitants,
  • Fichiers clients et fournisseurs,
  • Bases de Données, application de gestion des salaires,
  • Messagerie (Outlook), Annuaires internes,
  • Documents commerciaux (devis, factures, contrats), Bureautique, formulaires,
  • Attention la donnée personnelle n’est pas uniquement informatique elle peut être stockée sur du papier et faire l’objet des mêmes obligations,

ATTENTION : en cas de non-conformité avec le RGPD, le représentant légal de l’entreprise est responsable pénalement vis-à-vis de l’autorité de contrôle (CNIL pour la France) et s’expose à une sanction pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros.

En contrepartie, le RGPD est une opportunité pour toutes les entreprises de cartographier leur système d’information (élaboration d’un registre des traitements), de renforcer leur sécurité informatique et de rassurer leurs clients quant à l’utilisation de leurs données personnelles.

Actuellement le groupe SADEC-AKELYS finalise la phase de mise en conformité avec les obligations du RGPD.

Si vous n’avez pas encore entamé les démarches de mise en conformité RGPD ou si vous avez des questions sur ce nouveau règlement, vous pouvez dès à présent contacter notre filiale informatique, la société CIAGEC , à l’adresse mail suivante : dpo@sadec-akelys.fr

Notre filiale informatique peut vous proposer des missions de conseil, d’accompagnement pour la mise en place du RGPD ou d’externalisation de la fonction DPO.

Laurent BAUER – DPO (Data Protection Officer) du groupe SADEC-AKELYS