R.G.P.

D
J-100

Le 25 MAI
2018
une nouvelle
réglementation
entrera en vigueur
pour les
entreprises des
pays membres de
l’Union
Européenne

----8 8888 66666 666

SAVE THE
DATE
R èglement
G énéral de
P rotection des
D onnées
 Règlement Général de Protection des données

Sommaire

INTRODUCTION ....................................................................................................................................... 3
Responsabilité ......................................................................................................................................... 3
Un double enjeu sociétal et économique ............................................................................................... 3
Cadre juridique et obligations ................................................................................................................. 4
Cadre juridique .................................................................................................................................... 4
Obligations de l’entreprise .................................................................................................................. 4
Comment se mettre en conformité ........................................................................................................ 5
6 étapes conseillées par la CNIL .......................................................................................................... 5
Transversalité ...................................................................................................................................... 6
Acteurs concernés ............................................................................................................................... 6
Pilotage ................................................................................................................................................ 6
La démarche d’audit ............................................................................................................................ 7
Comment ............................................................................................................................................. 7
Terminologie du RGPD ........................................................................................................................ 8
Annexes ................................................................................................................................................. 10

2/10
jcq.box@gmail.com
 Règlement Général de Protection des données

INTRODUCTION

Le 25 mai 2018, une nouvelle réglementation entrera en vigueur pour les entreprises des pays
membres de l’Union Européenne : le Règlement Général sur la Protection des Données (RGPD ou GDPR
pour sa version anglaise). Chaque membre de l’Union Européenne devra adapter les articles du
Règlement selon ses spécificités, typiquement en France le RGPD prévaudra à la loi Informatique et
libertés du 6 Janvier 1978. De nombreuses formalités auprès de la CNIL vont disparaître. En
contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une
protection optimale des données à chaque instant et être en mesure de la démontrer en documentant
leur conformité.

Responsabilité

Au regard du législateur, les entreprises sont responsables de la protection des données de leurs
clients. Si un dégât s’origine accidentelle ou informatique corrompt les données, l’organisation est
tenue d’informer ses clients.

Si l’entreprise fait appel à un sous-traitant, celui-ci ne traitera les données à caractère personnel (DCP)
que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les
transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale.

Un double enjeu sociétal et économique

Le règlement protège le droit d’un résident européen de décider si ses données personnelles peuvent
être divulguées, quand, où, comment et à qui elles peuvent l’être, et aussi de quelle manière elles
peuvent être utilisées. Une atteinte à la sécurité ou l’incapacité de fournir à ces derniers les données
personnelles que la loi les autorise à réclamer pourraient avoir des conséquences désastreuses sur les
revenus et l’image des organisations, sachant que l’organisation a un mois à compter de la réception
de la demande pour accéder à la demande du client et en apporter la preuve.

Les délais peuvent sembler relativement courts aux entreprises européennes pour mettre en place des
changements stratégiques nécessaires à la nouvelle conformité réglementaire. En outre, le règlement
européen, en vigueur depuis le 24 mai 2016 et applicable à partir du 25 mai 2018, prévoit des sanctions
pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial sur un total maximum pouvant atteindre
20 millions d’euros.

3/10
jcq.box@gmail.com
 Règlement Général de Protection des données

Cadre juridique et obligations

Cadre juridique

Chaque pays membre possède des lois différentes sur le traitement et la sécurité de ces données.
A l’heure actuelle, les sociétés sont soumises à des procédures administratives différentes dès que
les données qu’elles traitent sortent de leur pays. Le GDPR vise à permettre une harmonisation
totale des règlements nationaux. Il est important de souligner qu’il concerne les données des
Européens, et donc à ce titre les Etats membres de l’Union et les entreprises en dehors de l’Europe.

Le régime juridique des traitements de données permettant d’identifier directement ou indirectement

une personne est défini principalement par la directive européenne 95/46/EC, transposée en droit
français en 2004 dans la loi « Informatique et Libertés » du 6 janvier 1978. C’est cette législation qui
sera « impactée » par le RGPD européen.

Obligations de l’entreprise

Dans ce contexte, les obligations sont à minima :

• le RGPD doit s’intégrer aux processus de gestion des risques des organisations et
d’amélioration continue selon ITIL.

• le Règlement doit être pris en considération lors des processus des organisations,

• Le Règlement doit être intégré dès la conception des applications ou «Privacy in design »

• Le Règlement doit être souple, s’adapter au niveau de risque identifié, utiliser des outils
conformes au plus haut niveau de risque connu, dont vraisemblablement des outils de chiffrement.

4/10
jcq.box@gmail.com
 Règlement Général de Protection des données

Comment se mettre en conformité

6 étapes conseillées par la CNIL

5/10
jcq.box@gmail.com
 Règlement Général de Protection des données

Transversalité

Dans tous les cas, il est primordial que toutes les directions ou les équipes citées dans ce
chapitre soient impliquées dans la démarche et puissent apporter leur contribution en ce
qui concerne les pratiques relatives aux données personnelles.

Ainsi, c'est grâce à l’investissement et à la collaboration efficace de tous les acteurs que
l’entreprise pourra acquérir une vision complète et globale des traitements de données
personnelles mis en œuvre tout en respectant le périmètre de responsabilité de chacun des
acteurs.

En effet, il n'est pas rare de constater que chacune des équipes a une vision partielle des
données qu’elle utilise sous le prisme de son domaine de compétence mais qu'aucune n'a
de vision transversale (ex : SI pour les applications, Sécurité pour les mesures de sécurité,
Juridique pour les aspects contractuels, Métier pour des relations directes avec des
fournisseurs de solutions, …).

Acteurs concernés

La donnée constituant un patrimoine de plus en plus stratégique pour les

entreprises, tous les acteurs et toutes les divisions de l’entreprise sont susceptibles
de devoir, à un moment ou à un autre, manipuler de telles données. Ci-après sont
identifiées les différentes équipes potentiellement impliquées en indiquant leur
principal domaine de contribution.

Pilotage

Le DPO (Data Protection Officer) ou DPD en français (Délégué à la Protection des

Données), s’il est nommé, est idéalement placé pour gérer la check-list et la diffuser
auprès des acteurs concernés. Cette démarche lui permet de s'approprier le
périmètre de la protection des données en lui faisant rencontrer les équipes
adéquates et en lui permettant d’identifier les solutions existantes et celles à mettre
en œuvre. Si le DPO n'est pas encore nommé ou si le périmètre à couvrir requiert
une délégation, il convient d'identifier une personne positionnée à un niveau
transverse (contrôle interne, organisation, voire un détachement d’un auditeur
interne) pour animer la démarche auprès des différents acteurs identifiés.
6/10
jcq.box@gmail.com
 Règlement Général de Protection des données

La démarche d’audit

Une check-list doit permettre de vérifier que toutes les obligations principales imposées par
le GDPR ont été prises en compte par les différentes parties prenantes de l’entreprise :
la Direction Générale, les Directions Métiers et la Direction des Systèmes d'Information, ainsi
que les partenaires tiers externes. La check-list est subdivisée en trois grands thèmes
correspondant aux acteurs cités ci-dessus :

• Gouvernance
• Métiers
• Systèmes d’information et Cybersécurité

En complément des réponses apportées, la check-list permet aussi de collecter des

éléments factuels sur les lacunes ou les points de vigilance, lorsque la réponse à une
question est négative.

Comment

1. Une check-list des questions à se poser pour se mettre en conformité

2. Un inventaire des recommandations et mesures techniques

3. Mode d’emploi et outils de conformité avec le cadre législatif et réglementaire

▪ Définitions – notions de bases

▪ Gouvernance interne

▪ Rapport avec les Data Subject

▪ Partage de responsabilité

▪ Transfert de données hors UE

▪ Sécurité et notification des violations des données personnelles

▪ Voies de recours, responsabilités et sanction

7/10
jcq.box@gmail.com
 Règlement Général de Protection des données

Terminologie du RGPD

1. Données personnelles et portée géographique

Demandes d’accès par les personnes visées Pour cerner quelles parties du règlement
s’appliqueront à vos données et dans quelle mesure, il faut d’abord comprendre ce que sont
les données personnelles. Les « données personnelles » sont des données liées à une
personne, appelée la « personne visée », qui peut être directement ou indirectement
identifiée selon ces données par un « responsable du traitement des données » dans une
entreprise. Ces données regroupent aussi les identifiants de connexion à un appareil, les
cookies et les adresses IP. En vertu du RGPD, les responsables des données doivent connaître
l’ensemble des données personnelles dont ils ont le contrôle et doivent pouvoir démontrer
qu’ils comprennent les risques relatifs à la protection des données.

2. Évaluation de l’impact sur le respect de la vie privée

En amont de tout projet susceptible d’augmenter les risques relatifs aux données
appartenant à des personnes visées, une entreprise est tenue de procéder à une évaluation
initiale des risques pour la vie privée afin de déterminer si une évaluation de l’impact sur le
respect de la vie privée est nécessaire. Cette évaluation est beaucoup plus facile une fois que
vous savez où se trouvent les données personnelles dans votre entreprise.

3. Demande d’accès par les personnes visées

Droit d’un individu de consulter et de recevoir une copie de ses données personnelles
traitées par une entreprise (et ses partenaires commerciaux).

4. Droit d’effacement et de portabilité des données

Mieux connu sous le nom de « droit à l’oubli ». Les entreprises doivent être en mesure de
repérer et de supprimer ou de transférer rapidement des données personnelles à la
demande de la personne visée. Vous pouvez le faire seulement si vous savez exactement
quels renseignements vous détenez et où ils se trouvent.

8/10
jcq.box@gmail.com
 Règlement Général de Protection des données

5. Avis et consentement

Nous avons assisté ces dernières années à une prise de conscience des citoyens qui
demandent plus de transparence dans l’utilisation des données personnelles. Les autorités
réclament aussi aux entreprises de démontrer qu’elles transmettent les avis nécessaires et
demandent le consentement des personnes visées.

Par défaut, le consentement pour le traitement des données doit être libre, spécifique,
éclairé et explicite. Les individus doivent accorder leur consentement en connaissance de
cause et de leur plein gré. Pour cela, les entreprises doivent être transparentes sur
l’utilisation des données traitées et la durée pendant laquelle elles prévoient de les
conserver, d’autant plus qu’elles doivent fournir une preuve d’avis et de consentement.

9/10
jcq.box@gmail.com
 Règlement Général de Protection des données

Annexes

Exemple de prévention des utilisateurs – Groupe Axa

10/10
jcq.box@gmail.com