Photos copyright, CNIL
Quelques explications
Cette loi a été votée il y a deux ans et elle est entrée en application le 25 mai dernier. Elle vient compléter une première règlementation qui date de 1978.
Son rôle :
protéger l’individu contre l’utilisation abusive de ses informations.
Qui doit l'appliquer ?
Toute structure quelque soit sa taille (société, TPE, PME, association..) détenant des données doit mettre en œuvre ce règlement.
Qui est concerné ?
Pratiquement tout le monde, prospects, vos clients, fournisseurs, tiers et sans oublier vos salariés.
Quelles données ?
Le règlement prend en cause toutes informations relatives à des personnes physiques, quelquesoit sa forme, écrite ou sous forme numérique : nom/prénom, adresse, téléphone…
Certaines informations sont dites sensibles, comme le sexe des personnes, leur date de naissance, informations bancaires (RIB, carte bancaire), identifiants de connexion.
Ce type de détention nécessite une procédure spéciale qui contraint à prouver qu’un niveau de sécurité intensif a été mis en place.
Un principe essentiel ! Aucune donnée ne peut être collectée sans que le propriétaire ne soit averti explicitement et ait donné son autorisation préalable.
Comment la mettre en place e
Le RGPD définit 4 actions principales, à mettre en œuvre en fonction des types de données que vous gérez :
- Définir un DPO, personne référente qui veille au respect du règlement et organise sa mise en œuvre. Ce n’est pas obligatoire mais recommandé
- Etablir un registre de traitement des données : c’est un genre de journal qui liste les personnes concernées, la date de création des informations et leur mise à jour, la raison pour laquelle on détient ces données, leur portabilité en dehors de la communauté européenne et s’il s’agit de données sensibles
- Définir les actions à mener pour garantir la confidentialité de ces informations
- Réaliser une analyse d’impact : cette étape est nécessaire lorsuqe le traitement des données présente un risque élevé pour le droit et liberté des personnes concernées. La CNIL (Commission Informatique et Liberté) met à disposition un logiciel Opensource PIA « facilite la conduite et la formalisation d’analyses d’impact relatives à la protection des données (AIPD) telles que prévues par le RGPD. »
La boite à outils complète avec les textes de références, c’est sur le site de la CNIL :
https://www.cnil.fr/fr/rgpd-par-ou-commencer