Le FAQ du RGPD?

Quel est le but du RGPD ?

Protéger les citoyens contre les utilisations malveillantes de leurs données à caractère personnel et responsabiliser les organismes. En effet, ceux-ci devront assurer une protection optimale des données et être en mesure de le démontrer (documentation).

Comment comprendre “donnée personnelle” ?

Les données à caractère personnel sont toutes informations se rapportant à une personne physique identifiée ou identifiable. En effet, une personne physique peut être identifiée directement ou indirectement (ex : nom, numéro d’identification, données de localisation, identifiant en ligne,  éléments spécifiques à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale). Ainsi, des identifiants comme une adresse IP sont susceptibles d’identifier au moins indirectement une personne physique.

Les territoires impactés par le RGPD ?

Le RGPD édicte des critères territoriaux particulièrement larges. Aussi, le RGPD couvre la quasi-totalité des traitements réalisés par des acteurs situés dans l’Union européenne ou relatifs à des personnes situées sur ce territoire.

Quels sont les traitements concernés?

Depuis le 25 mai 2018, toutes structures qui traitent des données à caractère personnel sont dans l’obligation d’être en conformité avec le RGPD.
En outre, le RGPD s’applique aux traitements automatisés de données à caractère personnel et  aux traitements non-automatisés de ces données (contenues ou appelées à figurer dans un fichier).

Pour être conforme, le traitement doit être licite. Quelles sont les conditions ?

Tout traitement doit être, soit :

  • nécessaire à/au :
    • la sauvegarde des intérêts vitaux de la personne concernée
    • respect d’une obligation légale incombant au responsable de traitement
    • la gestion d’une mission de service public, d’une mission d’intérêt public relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement
    • l’exécution d’un contrat auquel ou de mesures précontractuelles ,
    • l’intérêt légitime poursuivi, sous réserve de préserver l’intérêt où les droits et libertés fondamentaux de la personne concernée
  •  avoir reçu le consentement préalable de la personne concernée.

Quelles nouvelles obligations ?

Les organismes ont les obligations les suivantes :

  1. désigner un délégué à la protection des données (DPO) pour certains organismes
  2. tenir un registre de traitements lorsqu’ils comptent plus de 250 employés ou bien qu’ils réalisent certains types de traitements
  3. implémenter des procédures internes permettant d’assurer la protection des données dès la conception des traitements
  4. faire des analyses d’impact préalablement à la mise en œuvre de certains traitements
  5. revoir les mentions d’informations, ainsi que les modalités de recueil du consentement pour les traitements soumis à consentement.
  6. mettre en place un dispositif de notification CNIL en cas d’une violation de données engendrant un risque pour les droits et libertés des personnes physiques (notification étendue à l’ensemble de celles-ci si ce risque est élevé).
  7. établir des contrats écrits avec les sous-traitants et avec les responsables conjoints de traitement répartissant clairement les rôles et responsabilités de chacun.

Qui doit nommer un DPO ?

Les organismes :

    • qui sont des « autorités publiques ou organismes publics, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle »  (y compris les organismes de droit privé en charge d’une mission d’intérêt public ou exerçant des prérogatives de puissance publique)
    • dont les activités de base consistent « en des opérations de traitement qui, du fait de leur nature, leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées »
    • ayant pour activité un traitement à grande échelle, de catégories de données sensibles ou de données relatives à des infractions ou condamnations.

Quels sont les organismes concernés par le registre des traitements ?

Le registre des traitements s’impose à tous les organismes. Toutefois, pour tenir compte de la situation particulière des micro, petites, et moyennes entreprises, le RGPD prévoit une dérogation pour les organismes comptant moins de 250 employés. Cependant, ces dérogations ne sont pas valables si :

  1. les traitements sont susceptibles de comporter un risque pour les droits et libertés des personnes concernées,
  2. s’ils ne sont pas occasionnels
  3. s’il portent sur les catégories particulières de données visés à l’article 9 paragraphe 1 (révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale), le traitement des données génétiques, des données biométriques, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique, ou sur des données relatives à des condamnations pénales et à des infractions visées à l’article 10.

Quand mener une analyse d’impact ?

Une analyse d’impact doit être menée pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Quelles nouvelles dispositions pour les sous-traitants ?

Le contrat est obligatoire. A défaut, chacune des parties peut être lourdement sanctionnée. En outre, même quand les sous-traitants ne sont pas responsables conjoints de traitement, ils peuvent être solidairement responsables.

Quid des sanctions en cas de non-respect des dispositions du RGPD ?

Le RGPD ajoute deux amendes administratives dont le montant varie selon les situations, soit le plus élevé des deux montants entre:

  • 10 millions d’euros et 2 % du CA annuel mondial total de l’exercice précédent
  • 20 millions d’euros et 4 % du CA annuel mondial total de l’exercice précédent

Ainsi, des procédures complexes mais impératives s’imposent.
Nous vous accompagnons dans la mise en conformité. Contactez-nous !