Guide pratique RGPD en 10 points clés

Il s'agit du règlement européen n° 2016/679 du 27 avril 2016 relatif à la protection des données personnelles (RGPD) qui est entré en vigueur le 25 mai 2018.

Le RGPD s'applique à toutes les structures (entreprises, administrations ou organismes publics) de toute taille dès lors qu'elles sont établies dans l'un des pays membres de l'Union Européenne ou qu'elles traitent des données personnelles relatives à des résidents de l'Union européenne.

Les données à caractère personnel sont définies comme « toute information se rapportant à une personne physique identifiée ou identifiable ».

Une personne physiques identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, un numéro d'identification, des données de localisation ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Le 21 juin 2018, une nouvelle loi Informatique et Libertés est entrée en vigueur. Son objet est de mettre en œuvre concrètement le RGPD et la directive dite « police justice ».

Les dispositions du RGPD et de la directive 2016/680 ont été codifiées par ordonnance et intégrées dans la loi Informatique et Libertés de sorte que la structure de ce texte a été conservée.

Avec l'entrée en vigueur du RGPD, les formalités à effectuer auprès de la CNIL ont presque toutes disparu. Ainsi, il n'est désormais plus nécessaire d'effectuer une déclaration normale, déclaration simplifiée ou demande d'autorisation. Ces textes seront prochainement transformés par la CNIL en « référentiels » pour guider les professionnels souhaitant se mettre en conformité avec la règlementation.

Exception notable : les demandes d'autorisation en matière médicale restent applicables.

De façon schématique, il s'agit de la personne responsable de la mise en œuvre du RGPD au sein de l'entreprise.

Il a notamment pour rôle de :

• Sensibiliser les collaborateurs de l'organisme qui le désigne au respect du RGPD ;
• Mettre en œuvre et superviser des audits internes à l'organisme sur le respect du RGPD ;
• Conseiller l'organisme quant à l'opportunité de réaliser une analyse d'impact et, dans l'affirmative, superviser l'exécution ;
• Recevoir et répondre à toute question relative à la protection des données ;
• Gérer les relations de l'organisme avec la CNIL.

Le DPO peut être un collaborateur de l'organisme qui le désigne mais également un prestataire externe (par exemple, un avocat). Afin d'exercer efficacement sa mission, un DPO doit disposer d'une bonne connaissance du RGPD mais d'une connaissance approfondie du secteur d'activité de l'organisme qui le désigne. Enfin, il ne doit pas avoir de conflits d'intérêts avec ses autres missions et doit pouvoir exercer ses fonctions de DPO en toute indépendance.

Dans la pratique, il s'agit souvent du responsable IT ou du responsable juridique.

La désignation d'un DPO est obligatoire pour les organismes publics ou les entreprises dont l'activité de base les amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Dans les autres cas, la désignation d'un DPO est facultative mais est encouragée par la CNIL.

Les contrevenants encourent une amende pouvant atteindre 4% de leur chiffre d'affaires annuel mondial.

Pour une mise en œuvre efficace du RGPD, il est essentiel de réaliser une cartographie des traitements de données mis en œuvre au sein de l'organisme et d'effectuer un audit de conformité de son système d'information.

Nous sommes naturellement à votre disposition pour accompagner dans ce cadre et vous renvoyons à notre offre correspondante.