Votre agence de communication
Votre agence de communication

RGPD ? Qu'est ce que c'est ?

  • Par
  • Le 23/04/2018

Protection donnees 9 mois pour etre conforme rgpd

Rappel : 

 

La RGPD est une étape majeure dans la protection des données. Elle vise à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabiliser les professionnels. Elle consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données personnelles.

La CNIL disposera de plus de moyen afin de contrôler et accompagner et chaque entreprise devra se choisir un référent (DPO) garant de la bonne gestion des données personnelles dans l'entreprise.

 

Le Délégué à la Protection des Données (DPO)

1ère étape :  les entreprises ont l’obligation de désigner un Délégué à la Protection des Données (DPO) personnelles. Celui-ci remplacera naturellement le Correspondant Informatique et Libertés (CIL).

Le DPO aura un rôle de «coordinateur». Il est impliqué dans tous les sujets et processus qui impliquent un traitement de données à caractère personnel. Il est en étroite collaboration avec le responsable des systèmes d’informations ainsi qu'avec le service juridique. Il est amené à devenir un élément clé dans votre organisation : il s’assurera du respect de la RGPD, formera vos collaborateurs en interne, réalisera des audits et surtout, se placera en tant qu’interlocuteur privilégié auprès de la CNIL.

NB : Le DPO peut également être un consultant externe.

La personne qui a vocation à devenir délégué à la protection doit pouvoir réunir les qualités et compétences suivantes :

  • l’aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance. Le délégué ne doit pas avoir de conflit d’intérêts avec ses autres missions. Cela signifie qu’il ne peut occuper des fonctions, au sein de l’organisme, qui le conduise à déterminer les finalités et les moyens d’un traitement (éviter d’être « juge et partie »)
  • une expertise en matière de législations et pratiques en matière de protection des données, acquise notamment grâce à une formation continue. Le niveau d’expertise doit être adapté à l’activité de l’organisme et à la sensibilité des traitements mis en œuvre.
  • une bonne connaissance du secteur d’activité et de l’organisation de l’organisme et en particulier des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données.
  • un positionnement efficace en interne pour être en capacité de faire directement rapport au niveau le plus élevé de l’organisme et également d’animer un réseau de relais au sein des filiales d’un groupe par exemple et/ou une équipe d’experts en interne (expert informatique, juriste, expert en communication, traducteur, etc.).

La CNIL

La CNIL distinguera deux types d’obligations s’imposant aux professionnels :

 - Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL.

 - En revanche, pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact, etc.), les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes. En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points.

Source : https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire

Ce qu'il faut retenir

La RGPD est un texte de loi très intéressant pour la gestion de nos données personnelles. En pratique, il s'adresse plus particulièrement aux grandes entreprises qu'aux petites TPE/PME pour lequel le traitement de donnée personnelle reste minime (sauf cas particulier). Quelques points seront tout de même à surveiller comme la collecte d'adresse mail sur votre site Internet. 
La nomination d'un DPO au sein, ou non, de votre structure n'est pour le moment pas obligatoire pour les entreprises mais vivement encouragée. Soyez vigilant dans le traitement des données personnelles de vos entreprises afin d'être sur que celle-ci sont en sécurité conformément à la RGPD.

CNIL et RGPD : ressources utiles

Pour préparer l'entrée en vigueur du RGPD et accompagner les entreprises, la CNIL met à disposition un ensemble de ressources sur son site internet. En voici une sélection susceptible de vous intéresser : 

communication RGPD