En savoir plus sur la règlementation RGPD

>> Qui est concerné ?

• Toute entreprise ou collectivité publique traitant des données personnelles européennes

En effet, ces dispositions seront applicables dans l'ensemble des pays de l'Union Européenne par l’ensemble des organismes dans le monde qui fournissent des biens à des citoyens européens, ainsi que celles qui enregistrent, hébergent et manipulent des données personnelles de résidents européens.

>> Objectif de cette régulation

•    Donner au citoyen de la visibilité, le contrôle ainsi que la portabilité de ses données personnelles
•    Maitriser le cycle de vie des données et être en mesure de les transmettre en cas de demande de la personne concernée
•    Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Ces dispositions vont modifier en profondeur la manière de collecter, gérer, stocker et protéger les données personnelles, dans le cas d’organismes n’ayant pas encore mis en place ce type de dispositifs qui auraient pu être dictées par des précédentes directive propres à chaque pays.

>> Sanctions

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.

Les autorités de protection peuvent notamment :

•    Prononcer un avertissement ;
•    Mettre en demeure l’entreprise ;
•    Limiter temporairement ou définitivement un traitement ;
•    Suspendre les flux de données ;
•    Ordonner de satisfaire aux demandes d'exercice des droits des personnes ;
•    Ordonner la rectification, la limitation ou l'effacement des données.

S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 20 millions d’euros, ou, dans le cas d’une entreprise, de 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Sans compter les dommages et intérêts pour préjudice à la personne concernée !

>> La Démarche pour les entreprises

Se préparer au RGPD signifie d’abord prendre des mesures organisationnelles et étudier la situation des données personnelles dans votre organisation, ces mesures se déclinent en 6 points.

1. DESIGNER un "chef d'orchestre", le DPO (Data Protection Officer) ou en français le « Délégué à la Protection des Données », en charge d’informer, de contrôler et d’organiser les actions à mener pour être en conformité avec le RGPD.

2. CARTOGRAPHIER les traitements de données personnelles, pour lister clairement les différents traitements de données personnelles au sein de votre organisation, les catégories de données personnelles collectées et traitées, les objectifs et les acteurs de ces traitements (responsables de traitements et sous-traitants), ainsi que les flux de données entre les entités. Un registre des traitements doit être mis en place.

3. PRIORISER les actions à mener dans le cadre du RGPD, avec comme base la cartographie ou le registre des traitements, en fonction des traitements les plus à risque en termes des droits et les libertés des personnes concernées.

4. GERER les risques en menant des analyses d’impact ou PIA (Privacy Impact Assessment), obligatoires si des traitements de données personnelles à haut risque sont identifiés.

5. ORGANISER les processus internes en mettant en place des procédures pour prendre en compte la protection des données dès la conception d’un traitement, former les collaborateurs et les informer, traiter les demandes d’exercice de droits des personnes, et anticiper les violations de données ou les notifier à l’autorité compétente.

6. DOCUMENTER la conformité, et la mettre à jour régulièrement

>> Eléments à définir dans l'entreprise:

• Inventaire des différents types de données
• Modèle de gestion des données concernées

• Descriptif de stockage :

•      Lieu physique (accès)
•      Sécurité
•      Redondance

• Durée de vie des données
• Mode d’effacement

•    Mode de collecte des données
•    Mode de transfert (fournir les données à la personne concernée)
•    Sécurité d’accès aux données

>> Le Délégué à la Protection des données ou DPO (Data Protection Officer)

Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué :
•    s’ils appartiennent au secteur public dans les pays européens,
•    si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle,
•    si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

En dehors de ces cas, la désignation d’un délégué à la protection des données sera bien sûr possible.

Les responsables de traitement peuvent opter pour un délégué à la protection des données mutualisé ou externe.

Le délégué devient le véritable « chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Il est ainsi chargé :
•    d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ;
•    de contrôler le respect du règlement européen et du droit national en matière de protection des données ;
•    de conseiller l’organisme sur la réalisation d’une analyse d'impact (PIA) et d’en vérifier l’exécution ;
•    de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

>> Qui est concerné ?

• Toute entreprise ou collectivité publique traitant des données personnelles européennes

En effet, ces dispositions seront applicables dans les 28 pays de l'Union Européenne par l’ensemble des organismes dans le monde qui fournissent des biens à des citoyens européens, ainsi que celles qui enregistrent, hébergent et manipulent des données personnelles de résidents européens.

>> Objectif de cette régulation

•    Donner au citoyen de la visibilité, le contrôle ainsi que la portabilité de ses données personnelles
•    Maitriser le cycle de vie des données et être en mesure de les transmettre en cas de demande de la personne concernée
•    Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Ces dispositions vont modifier en profondeur la manière de collecter, gérer, stocker et protéger les données personnelles, dans le cas d’organismes n’ayant pas encore mis en place ce type de dispositifs qui auraient pu être dictées par des précédentes directive propres à chaque pays.

>> Sanctions

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.

Les autorités de protection peuvent notamment :

•    Prononcer un avertissement ;
•    Mettre en demeure l’entreprise ;
•    Limiter temporairement ou définitivement un traitement ;
•    Suspendre les flux de données ;
•    Ordonner de satisfaire aux demandes d'exercice des droits des personnes ;
•    Ordonner la rectification, la limitation ou l'effacement des données.

S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 20 millions d’euros, ou, dans le cas d’une entreprise, de 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Sans compter les dommages et intérêts pour préjudice à la personne concernée !

>> La Démarche pour les entreprises

Se préparer au RGPD signifie d’abord prendre des mesures organisationnelles et étudier la situation des données personnelles dans votre organisation, ces mesures se déclinent en 6 points.

1. DESIGNER un "chef d'orchestre", le DPO (Data Protection Officer) ou en français le « Délégué à la Protection des Données », en charge d’informer, de contrôler et d’organiser les actions à mener pour être en conformité avec le RGPD.

2. CARTOGRAPHIER les traitements de données personnelles, pour lister clairement les différents traitements de données personnelles au sein de votre organisation, les catégories de données personnelles collectées et traitées, les objectifs et les acteurs de ces traitements (responsables de traitements et sous-traitants), ainsi que les flux de données entre les entités. Un registre des traitements doit être mis en place.

3. PRIORISER les actions à mener dans le cadre du RGPD, avec comme base la cartographie ou le registre des traitements, en fonction des traitements les plus à risque en termes des droits et les libertés des personnes concernées.

4. GERER les risques en menant des analyses d’impact ou PIA (Privacy Impact Assessment), obligatoires si des traitements de données personnelles à haut risque sont identifiés.

5. ORGANISER les processus internes en mettant en place des procédures pour prendre en compte la protection des données dès la conception d’un traitement, former les collaborateurs et les informer, traiter les demandes d’exercice de droits des personnes, et anticiper les violations de données ou les notifier à l’autorité compétente.

6. DOCUMENTER la conformité, et la mettre à jour régulièrement

>> Eléments à définir dans l'entreprise:

• Inventaire des différents types de données
• Modèle de gestion des données concernées

• Descriptif de stockage :

•      Lieu physique (accès)
•      Sécurité
•      Redondance

• Durée de vie des données
• Mode d’effacement

•    Mode de collecte des données
•    Mode de transfert (fournir les données à la personne concernée)
•    Sécurité d’accès aux données

>> Le Délégué à la Protection des données ou DPO (Data Protection Officer)

Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué :
•    s’ils appartiennent au secteur public dans les pays européens,
•    si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle,
•    si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

En dehors de ces cas, la désignation d’un délégué à la protection des données sera bien sûr possible.

Les responsables de traitement peuvent opter pour un délégué à la protection des données mutualisé ou externe.

Le délégué devient le véritable « chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Il est ainsi chargé :
•    d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ;
•    de contrôler le respect du règlement européen et du droit national en matière de protection des données ;
•    de conseiller l’organisme sur la réalisation d’une analyse d'impact (PIA) et d’en vérifier l’exécution ;
•    de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

Audit RGPD

Questionnaire d'Audit RGPD

Faites ce mini questionnaire d'Audit pour estimer vos connaissances en matière du RGPD.
Il y a 17 questions, avec leurs réponses, relatives au règlement européen.

Ce test et sans engagement et totalement anonyme.

Démarrez l'Audit

Retour aux services RGPD