Documente Academic
Documente Profesional
Documente Cultură
D
J-100
Le 25 MAI
2018
une nouvelle
réglementation
entrera en vigueur
pour les
entreprises des
pays membres de
l’Union
Européenne
SAVE THE
DATE
R èglement
G énéral de
P rotection des
D onnées
Règlement Général de Protection des données
Sommaire
INTRODUCTION ....................................................................................................................................... 3
Responsabilité ......................................................................................................................................... 3
Un double enjeu sociétal et économique ............................................................................................... 3
Cadre juridique et obligations ................................................................................................................. 4
Cadre juridique .................................................................................................................................... 4
Obligations de l’entreprise .................................................................................................................. 4
Comment se mettre en conformité ........................................................................................................ 5
6 étapes conseillées par la CNIL .......................................................................................................... 5
Transversalité ...................................................................................................................................... 6
Acteurs concernés ............................................................................................................................... 6
Pilotage ................................................................................................................................................ 6
La démarche d’audit ............................................................................................................................ 7
Comment ............................................................................................................................................. 7
Terminologie du RGPD ........................................................................................................................ 8
Annexes ................................................................................................................................................. 10
2/10
jcq.box@gmail.com
Règlement Général de Protection des données
INTRODUCTION
Le 25 mai 2018, une nouvelle réglementation entrera en vigueur pour les entreprises des pays
membres de l’Union Européenne : le Règlement Général sur la Protection des Données (RGPD ou GDPR
pour sa version anglaise). Chaque membre de l’Union Européenne devra adapter les articles du
Règlement selon ses spécificités, typiquement en France le RGPD prévaudra à la loi Informatique et
libertés du 6 Janvier 1978. De nombreuses formalités auprès de la CNIL vont disparaître. En
contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une
protection optimale des données à chaque instant et être en mesure de la démontrer en documentant
leur conformité.
Responsabilité
Au regard du législateur, les entreprises sont responsables de la protection des données de leurs
clients. Si un dégât s’origine accidentelle ou informatique corrompt les données, l’organisation est
tenue d’informer ses clients.
Si l’entreprise fait appel à un sous-traitant, celui-ci ne traitera les données à caractère personnel (DCP)
que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les
transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale.
Le règlement protège le droit d’un résident européen de décider si ses données personnelles peuvent
être divulguées, quand, où, comment et à qui elles peuvent l’être, et aussi de quelle manière elles
peuvent être utilisées. Une atteinte à la sécurité ou l’incapacité de fournir à ces derniers les données
personnelles que la loi les autorise à réclamer pourraient avoir des conséquences désastreuses sur les
revenus et l’image des organisations, sachant que l’organisation a un mois à compter de la réception
de la demande pour accéder à la demande du client et en apporter la preuve.
Les délais peuvent sembler relativement courts aux entreprises européennes pour mettre en place des
changements stratégiques nécessaires à la nouvelle conformité réglementaire. En outre, le règlement
européen, en vigueur depuis le 24 mai 2016 et applicable à partir du 25 mai 2018, prévoit des sanctions
pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial sur un total maximum pouvant atteindre
20 millions d’euros.
3/10
jcq.box@gmail.com
Règlement Général de Protection des données
Cadre juridique
Chaque pays membre possède des lois différentes sur le traitement et la sécurité de ces données.
A l’heure actuelle, les sociétés sont soumises à des procédures administratives différentes dès que
les données qu’elles traitent sortent de leur pays. Le GDPR vise à permettre une harmonisation
totale des règlements nationaux. Il est important de souligner qu’il concerne les données des
Européens, et donc à ce titre les Etats membres de l’Union et les entreprises en dehors de l’Europe.
Obligations de l’entreprise
• le RGPD doit s’intégrer aux processus de gestion des risques des organisations et
d’amélioration continue selon ITIL.
• le Règlement doit être pris en considération lors des processus des organisations,
• Le Règlement doit être intégré dès la conception des applications ou «Privacy in design »
• Le Règlement doit être souple, s’adapter au niveau de risque identifié, utiliser des outils
conformes au plus haut niveau de risque connu, dont vraisemblablement des outils de chiffrement.
4/10
jcq.box@gmail.com
Règlement Général de Protection des données
5/10
jcq.box@gmail.com
Règlement Général de Protection des données
Transversalité
Dans tous les cas, il est primordial que toutes les directions ou les équipes citées dans ce
chapitre soient impliquées dans la démarche et puissent apporter leur contribution en ce
qui concerne les pratiques relatives aux données personnelles.
Ainsi, c'est grâce à l’investissement et à la collaboration efficace de tous les acteurs que
l’entreprise pourra acquérir une vision complète et globale des traitements de données
personnelles mis en œuvre tout en respectant le périmètre de responsabilité de chacun des
acteurs.
En effet, il n'est pas rare de constater que chacune des équipes a une vision partielle des
données qu’elle utilise sous le prisme de son domaine de compétence mais qu'aucune n'a
de vision transversale (ex : SI pour les applications, Sécurité pour les mesures de sécurité,
Juridique pour les aspects contractuels, Métier pour des relations directes avec des
fournisseurs de solutions, …).
Acteurs concernés
Pilotage
La démarche d’audit
Une check-list doit permettre de vérifier que toutes les obligations principales imposées par
le GDPR ont été prises en compte par les différentes parties prenantes de l’entreprise :
la Direction Générale, les Directions Métiers et la Direction des Systèmes d'Information, ainsi
que les partenaires tiers externes. La check-list est subdivisée en trois grands thèmes
correspondant aux acteurs cités ci-dessus :
• Gouvernance
• Métiers
• Systèmes d’information et Cybersécurité
Comment
▪ Gouvernance interne
▪ Partage de responsabilité
7/10
jcq.box@gmail.com
Règlement Général de Protection des données
Terminologie du RGPD
Demandes d’accès par les personnes visées Pour cerner quelles parties du règlement
s’appliqueront à vos données et dans quelle mesure, il faut d’abord comprendre ce que sont
les données personnelles. Les « données personnelles » sont des données liées à une
personne, appelée la « personne visée », qui peut être directement ou indirectement
identifiée selon ces données par un « responsable du traitement des données » dans une
entreprise. Ces données regroupent aussi les identifiants de connexion à un appareil, les
cookies et les adresses IP. En vertu du RGPD, les responsables des données doivent connaître
l’ensemble des données personnelles dont ils ont le contrôle et doivent pouvoir démontrer
qu’ils comprennent les risques relatifs à la protection des données.
En amont de tout projet susceptible d’augmenter les risques relatifs aux données
appartenant à des personnes visées, une entreprise est tenue de procéder à une évaluation
initiale des risques pour la vie privée afin de déterminer si une évaluation de l’impact sur le
respect de la vie privée est nécessaire. Cette évaluation est beaucoup plus facile une fois que
vous savez où se trouvent les données personnelles dans votre entreprise.
Droit d’un individu de consulter et de recevoir une copie de ses données personnelles
traitées par une entreprise (et ses partenaires commerciaux).
Mieux connu sous le nom de « droit à l’oubli ». Les entreprises doivent être en mesure de
repérer et de supprimer ou de transférer rapidement des données personnelles à la
demande de la personne visée. Vous pouvez le faire seulement si vous savez exactement
quels renseignements vous détenez et où ils se trouvent.
8/10
jcq.box@gmail.com
Règlement Général de Protection des données
5. Avis et consentement
Nous avons assisté ces dernières années à une prise de conscience des citoyens qui
demandent plus de transparence dans l’utilisation des données personnelles. Les autorités
réclament aussi aux entreprises de démontrer qu’elles transmettent les avis nécessaires et
demandent le consentement des personnes visées.
Par défaut, le consentement pour le traitement des données doit être libre, spécifique,
éclairé et explicite. Les individus doivent accorder leur consentement en connaissance de
cause et de leur plein gré. Pour cela, les entreprises doivent être transparentes sur
l’utilisation des données traitées et la durée pendant laquelle elles prévoient de les
conserver, d’autant plus qu’elles doivent fournir une preuve d’avis et de consentement.
9/10
jcq.box@gmail.com
Règlement Général de Protection des données
Annexes
10/10
jcq.box@gmail.com