Règlement Général de Protection des Données (RGPD)

Enjeux et Définitions


RGPD/GDPR

Le règlement n° 2016/679, dit Règlement Général sur la Protection des Données (RGPD) (en anglais : General Data Protection Regulation, GDPR), constitue le texte de référence européen en matière de protection des données à caractère personnel

Chaque entreprise gérant des données personnelles devra être en conformité avec ce règlement en date du 25 mai 2018,  ou à tout le moins avoir démarré le process, et ceci afin d’éviter les lourdes sanctions désormais encourues.



ETUDE D'IMPACT

L'étude d'impact ("PIA" pour Privacy Impact Assessement) permet de vérifier qu'un traitement supposé à risque (traitement de masse, données sensibles...) respecte les droits fondamentaux des personnes et minimise les risques en termes de sécurité et de violation des obligations légales RGPD.

 



Données à caractère personnel

Le RGPD reprend les définitions antérieures : « toute donnée automatisée ou figurant dans un fichier se rattachant à une personne physique : nom, prénom, courriels, identité numérique, adresse mail, adresse IP, éléments biométriques.



Sanctions

Jusqu'à 4 % du chiffre d'affaires mondial annuel d'une entreprise ou 20 millions d'euros en cas de non respect du règlement.



CNIL

Commission Nationale de l'Informatique et des Libertés (CNIL) est en charge de veiller à la bonne application du règlement et opère les contrôles nécessaires.



DPO

Le Délégué à la Protection des Données Personnelles ou DATA PROTECTION OFFICER (DPO) est une évolution du Correspondant Informatique et Libertés (CIL). En charge de la conformité permanente au RGPD et des process futurs (tenue des registres, etc).



Accountability

Désigne l’obligation pour les entreprises de mettre en  œuvre des mécanismes et des procédures internes permettant de démontrer  le respect des règles relatives à la protection des données.



Responsable du traitement et sous-traitant

La personne physique ou morale, l'autorité publique, le service ou un  autre organisme qui, seul ou conjointement avec d'autres, détermine les  finalités et les moyens du traitement.  Le sous-traitant est la personne physique ou morale qui traite des données à caractère personnel pour le  compte du responsable du traitement.



Finalité d'un traitement

C’est ce qui sera fait des données personnelles par les applications informatiques. Exemple de finalités : gestion des recrutements, gestion  des clients, enquête de satisfaction, surveillance des locaux, etc.



Anonymisation /Pseudonymisation

A l’issue des traitements, les données à caractère personnel devront être soit effacées, soit traitées de telles façons qu’elles ne puissent plus être attribuées à une personne identifiable. La pseudonymisation protège la personne par un processus réversible de sécurisations.