Le règlement général sur la protection des données, RGPD, renforce la protection des individus quant à l’utilisation qui pourrait être faite de leurs données personnelles. Avec ce règlement, il y a une inversion de méthode par rapport à la loi précédente : d’un contrôle à priori par obligation de déclaration, ce nouveau règlement met en place un contrôle à posteriori des organisations détenant des données personnelles par la CNIL.
En tant qu’entrepreneur, responsable d’association ou de tout organisme détenant des données personnelles, cela vous créée certaines nouvelles obligations, qui mettent plus de transparence dans la relation de votre organisme et ses interlocuteurs : clients, salaries, prospects, fournisseurs, membres…
La mise en place de ce nouveau règlement s’inscrit dans la continuité de la Loi Informatique et Libertés. Il renforce la protection des individus quant à l’utilisation qui pourrait être faite de leurs données personnelles. Avec ce règlement Il y a une inversion de méthode par rapport à la loi précédente et d’un contrôle à priori des organisations détenant des données personnelles, ce nouveau règlement met en place un contrôle à posteriori par la CNIL.
En tant qu’entrepreneur, responsable d’association ou de tout organisme détenant des données personnelles, cela vous créée certaines nouvelles obligations, qui mettent plus de transparence dans la relation de votre organisme et ses interlocuteurs : clients, salaries, prospects, fournisseurs, membres…
A terme, cette plus grande transparence apportera une plus grande confiance de vos interlocuteurs dans vos relations professionnelle ou autres.
R.G.P.D. : Ce qu’il faut retenir ?
Il impose les mêmes obligations aux entreprises et organismes situés hors de la Communauté Européenne qu’aux organisations basées en Europe, dès lors qu’elles proposent des produits ou des services aux Européens.
Les obligations d’informations lors de la collecte de données personnelles sont renforcées, elles sont plus nombreuses et plus précises.
Ce nouveau règlement permet au citoyen de mieux connaître l’usage qui sera fait de ses données collectées et leur précise les conditions d’exercice de leurs droits.
Pour chaque fichier contenant des données personnelles, un responsable de traitement est identifié. Il peut s’agir du dirigeant de l’entreprise, du responsable de l’association ou de l’organisme. Dans les plus grandes organisations, il peut s’agir d’une personne nommée par le responsable de l’organisme. En tout état de cause cet responsable doit être identifié et précisé dans le registre.
Le responsable du traitement doit désormais être pro-actif et faire l’inventaire des données personnelles qu’il utilise en en décrivant les conditions de collecte, d’usage et de stockage dans un document décrit par le règlement appelé Registre
Ce Registre devra faire l’objet de mises à jour et être régulièrement réactualisé pour être le reflet des activités de l’entreprise.
Ce Registre devra être accompagné de procédures écrites, précisées dans le règlement et il devra être présenté en cas de contrôle.
L’objet de ce site Registre-RGPD.fr est de vous accompagner dans la réalisation de ce registre et de la documentation qui l’accompagne.
Qui est concerné par le RGPD ?
Tout organisme détenant des données personnelles est concerné par le RGPD et doit se mettre en conformité avec celui-ci.
Que vous soyez chef d’entreprise, responsable d’association, artisan, profession libérale, ou autre organisme, pour peu que vous déteniez des données personnelles de vos salariés, clients, patients, fournisseurs, prospects, membres… il vous faut réaliser votre registre RGPD et la documentation qui doit l’accompagner. En cas de contrôle, il vous faudra pouvoir le présenter immédiatement.
Le RGDP met sur le même pied d’égalité les entreprises basées en Europe et celles basées hors d’Europe et met fin à une distorsion de concurrence.
Qu’est-ce qu’une donnée personnelle ?
Une donnée est dite personnelle dès lors qu’elle permet de manière directe ou indirecte de déterminer à quelle personne physique elle fait référence.
Qu’est-ce qu’un traitement de données personnelles ?
Le traitement de données personnelles est l’usage (collecte, stockage, mise à jour…) qui en est fait par le détenteur de ces données afin d’atteindre un objectif appelé finalité (gérer la paie de mes employés, gestion commerciale…).
Exemples de finalités : animation commerciale, gestion du personnel, gestion de la paie …
Exemples de traitement : enrichissement d’un fichier clients, collecte d’un fichier de prospects, mise à jour d’un fichier de fournisseurs,
Dans le cadre d’un fichier clients, « le traitement » est sa mise à jour et la finalité est « l’animation commerciale »
Qu’est-ce que c’est : LE REGISTRE ?
Le nouveau règlement impose à chaque organisme de tenir un document intitulé Registre répertoriant l’ensemble des activités de traitement de données personnelles effectuées sous votre responsabilité. Il sera à présenter en cas de contrôle.
En plus du registre quelles autres informations dois-je collecter et fournir ?
En plus de votre Registre, vous devez fournir en cas de contrôle une documention décrivant : les modalités de collecte de données, les modalités d’accès aux données, les mesures de sécurité prises pour en protéger l’accès et l’usage et un plan d’action en cas de violation des données.
Une demande d’un particulier dont vous détenez des données personnelles ? Un conseil : SOYEZ REACTIFS !
Bien traiter les demandes des consommateurs quant à leurs données personnelles…
- c’est renforcer une confiance qui sécurisera la relation-client,
- c’est vous mettre à l’abri d’éventuelles réclamations sur les réseaux sociaux, voire auprès de l’autorité de contrôle.
Mettez en œuvre une politique de sécurité des données adaptée aux risques
Le responsable du fichier est astreint à une obligation de sécurité : il doit notamment prendre les mesures nécessaires pour garantir la sécurité des données qu’il a collectées et éviter leur divulgation à des tiers non autorisés.
Pour évaluer le niveau de sécurité des données personnelles dans votre entreprise, nous avons prévu dans notre questionnaire quelques questions qui nous permettront de connaître votre situation actuelle et, si besoin, de vous indiquer quelles mesures complémentaires simples vous devriez mettre en place.
Les mesures prises doivent être décrites dans un document « MESURES DE SECURITE » joint au REGISTRE et à présenter en cas de contrôle.
Que dois-je faire en cas de pillage des données personnelles que je détiens ?
En cas de violation de données personnelles, vous êtes tenu de documenter cette violation en indiquant les faits concernant celle-ci, ses effets et les mesures prises pour y remédier. Toute violation de données personnelles devra être portée à la connaissance de l’autorité de contrôle sous 72h (CNIL). La documentation concernant cette violation et des mesures prises permettra à l’autorité de contrôle de vérifier le respect du RGPD et mesurer l’impact de la violation.
Dans la documentation qui sera jointe à votre registre nous vous communiquons un process type à mener en cas de pillage de vos données personnelles.
Mes contrats avec mes prestataires actuels ne me protègent-ils pas ?
Les contrats conclus entre le responsable du traitement et avec ses sous-traitants et ses partenaires doivent inclure de nouvelles clauses de sécurité et de confidentialité et doivent définir les modalités du traitement. Il est plus que probable que vos contrats actuels doivent être revus et que des annexes doivent être ajoutées.
Dans la documentation qui sera jointe à votre registre nous vous communiquons le type de clauses qu’il convient d’inclure dans vos contrats et nous vous proposons des clauses-type que vous n’aurez qu’à adapter à votre activité.
Les 7 principes clés de la protection des données personnelles
1- Le RGDP définit les principes à respecter lors de la collecte, du traitement et de la conservation de données personnelles. Elle garantit également un certain nombre de droits pour les personnes concernées.
2- Avant toute collecte et utilisation de données personnelles, le responsable du traitement doit précisément annoncer aux personnes concernées ce à quoi ces données vont lui servir. Ces objectifs appelés « finalités », doivent respecter les droits et libertés des individus. Ils limitent la manière dont le responsable de traitement pourra utiliser ou réutiliser ces données dans le futur.
l’objet de la collecte est annoncé au départ et limite l’usage des données à cette finalité.
3- Seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées, principe de minimisation de la collecte. Le responsable du traitement ne doit donc pas collecter plus de données que ce dont il a vraiment besoin. Il doit également faire attention au caractère sensible de certaines données.
4- Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de les conserver et elles doivent être supprimées. Cette durée de conservation doit être définie au préalable par le responsable du traitement, en tenant compte des éventuelles obligations à conserver certaines données.
La durée de conservation des données doit être raisonnable par rapport à la finalité annoncée.
5- Ces individus dont vous détenez des données personnelles disposent de certains droits qu’elles peuvent exercer auprès de l’organisme qui détient ces données les concernant : un droit d’accès, rectification, opposition, limitation et de portabilité .
6- Le responsable du traitement doit prendre toutes les mesures nécessaires pour garantir la sécurité des données qu’il a collectées mais aussi leur confidentialité, c’est-à-dire s’assurer que seules les personnes autorisées y accèdent. Ces mesures pourront être déterminées en fonction des risques pesant sur le traitement de données (sensibilité des données, objectif du traitement).
7- L’obligation de déclarer à la CNIL les traitements de données à caractère personnel qui s’imposait au chef d’entreprise disparaît. En contrepartie, le chef d’entreprise ou son représentant le « responsable du traitement » est tenu d’établir un REGISTRE de l’ensemble des traitements de données personnelles couvrant les activités de son entreprise. A ce REGISTRE sont à joindre certaines informations relatives à la sécurité et aux conditions de collecte et d’accès aux données.