Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur à la fin de la semaine, le 25 mai plus précisément.
Cette infographie présente les principaux points contenus dans le RGPD dans le but de comprendre les normes qui s'appliqueront à toutes les entités qui manipulent des données personnelles.
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
INFOGRAPHIE - Focus sur le RGPD
1. DEFINITION
QU’EST-CE QU’UNE DONNEE
PERSONNELLE?
Source: CNIL
L’article 4 du RGPD définit les «données à caractère personnel» comme toute
information se rapportant à une personne physique identifiée ou identifiable
[…] notamment par référence à un identifiant, tel qu'un nom, un numéro
d'identification, des données de localisation, un identifiant en ligne, ou à un ou
plusieurs éléments spécifiques propres à son identité physique, physiologique,
génétique, psychique, économique, culturelle ou sociale;
[…] »
Données sensibles
SE PREPARER AU RGPD EN 6 ETAPES
Désigner
un pilote
Identifier tous
les traitements
de données
Hiérarchiser
les actions à
mener
Traiter les
risques
identifiés
Mettre en place
les procédures
internes
Constituer son
dossier de
conformité
2
1973 1978 2004 2016 2018
Les données anonymes ou
ne concernant pas des
personnes vivantes
échappent au RGPD
Quels sont les droits des
personnes concernEes ?
Le RGPD maintient les droits existants
dans la législation précédente et en ajoute
de nouveaux:
Droit d’être
préalablement
informé de
l’utilisation de
ses données
Renforcement de
l’information
fournie lorsque le
consentement est
réclamé
Le droit
de
consentir
Le
droit
d’accès
Le droit de
rectification
Le droit
d’opposition
L’encadrement
strict du
profilage
Le droit
général à
l’oubli
Le droit à la
limitation des
traitements
Le droit à la
portabilité
Création d’une
protection
spécifique pour
les mineurs
Le projet
SAFARI
Loi relative à la protection des
personnes physiques à l’égard
des traitements de données à
caractère personnel
FOCUS
SUR LE
RGPD
*
* RGPD signifie Règlement Général sur la Protection des Données
Les dates clEs de la protection des donnEes
La loi Informatique et
Libertés et la création de la
CNIL
REALISE PAR LE DROIT EN SCHEMA
Amendes
Les données sensibles
requièrent un traitement
beaucoup plus strict
1
4
3 5
6
LE DELEGUE A LA PROTECTION DES DONNEES - DPD (OU DPO)
Faciliter
l’accès aux
données et
aux
opérations
de
traitement
Coopérer avec
l’autorité de
contrôle et
être le point
de contact
avec elle
Informer et
conseiller le
responsable
du traitement
Contrôler
le respect
du RGPD et
du droit
national
Conseiller
l’organisme
sur la
réalisation
d’une analyse
d’impact et
vérifier
l’exécution
Agir de
manière
indépendante
(position
hiérarchique
appropriée,…)
Bénéficier des
ressources
nécessaires (ex:
temps
nécessaire,
ressources
financières,
équipe)
S’assurer de
l’implication
du DPO dans
toutes les
questions
relatives à la
protection des
données
Une personne
n’ayant pas de
diplôme
particulier mais
des compétences
spécifiques
Autorités et
organismes
publics
Organismes
dont l’activité
de base est le
suivi régulier
des personnes
à grande
échelle
Organismes
traitant à
grande
échelle des
données
sensibles Une personne
possédant des
connaissance
sur la
législation et
les pratiques
en matière de
protections des
données
Une personne
disposant de
connaissance
sur le secteur
d’activité et
l’organisme
qui le désigne
Une personne
jouissant d’un
positionnement
lui donnant la
capacité d’exercer
en toute
indépendance
Les instruments du RGPD
10 à
20
millions
d’€uros
2 à 4 %
Du CA
Annuel
Mondial
Le RGPD (art.83) prévoit des
amendes dissuasives en cas de
manquements aux dispositions
du Règlement.
Ces montants varient en fonction
de la nature du manquement
comme par exemple la gravité et
la durée de la violation, la
violation délibérée ou négligente,
etc.
C’est le montant le plus élevé des
deux qui sera retenu comme
sanction.
L’accountability désigne l’obligation pour les entreprises de mettre en œuvre
des mécanismes et des procédures internes permettant de démontrer le
respect des règles relatives à la protection des données
Cette notion d’origine canadienne peut s’entendre comme la protection
de la vie privée dès la conception. C’est une mesure qui vise à protéger
les aspects de la vie privée dès la création du dispositif technologique.
La multiplication des objets interconnectés qui collectent les données
personnelles doivent inclure une protection contre les violations et les
atteintes à la vie privée et ce dès le départ. Le RGPD met en avant le
caractère préventif que les entreprises doivent adopter.
Cette notion signifie que les données collectées ne doivent l’être que si elle revêt
un caractère nécessaire, adapté et approprié lors du traitement.
Elles doivent être en relation avec les besoins de l’outil qui va les traiter.
L’entité en charge du traitement ne devra pas collecter une information si elle ne
lui est pas indispensable.
Lorsqu’un traitement est réalisé et que le responsable ou le DPO estime
que ce traitement est susceptible d'engendrer un risque élevé pour les
droits et libertés des personnes physiques, il devra avoir réalisé au
préalable une analyse d’impact. Cette analyse doit notamment être mise
en place dans les cas suivants:
- l'évaluation systématique et approfondie d'aspects personnels
- le traitement à grande échelle de catégories particulières de données
- la surveillance systématique à grande échelle d'une zone accessible
au public
Il s’agit d’un procédé technique qui consiste à remplacer un identifiant par
un pseudonyme de telle façon que celui-ci ne puisse plus être attribué à la
personne concernée précise sans avoir recours à des informations
supplémentaires conservées séparément.
C’est une pratique consistant à coder des données à l’aide d’un algorithme
de telle sorte qu’elles ne se présentent plus sous leur forme d’origine et
deviennent illisibles. Cela permet de prévenir contre les menaces telles que
l'exploitation par des programmes malveillants et l'accès non autorisé par
des tiers.
Si l’URL d’une page que vous consultez commence par « https », cela
signifie que vos données seront chiffrés et transférées à l’aide d’un
protocole sécurisé.
A l’instar de la pseudonymisation , l’anonymisation consiste en un
procédé par lequel les données personnelles sont remplacées par des
données soit dont la véracité peut être altérée (ramdomisation) soit
diluées dans une masse plus globale afin de ne pas les individualiser
(généralisation). Ces modifications doivent être irréversibles sinon on
retombera sur le critère de pseudonymisation.
Ce principe vise à permettre aux personnes dont les données sont collectées d’obtenir le plus haut niveau
de protection possible par défaut. Cela peut se traduire par la collecte d’information strictement
nécessaire à l’utilisation du service par l’utilisateur et la conservation de ces informations le temps
nécessaire à l’utilisation du service par l’utilisateur. Dès lors qu’une donnée sur l’utilisateur recueillie
par le service n’était pas nécessaire à son bon fonctionnement, alors le plus haut niveau de protection
aura été violé.
L’anonymisation
La Privacy by design
La minimisation
La Privacy by default
L’analyse d’impact
La pseudonymisation
Le chiffrement
L’accountability
Loi pour une république
numérique
25 mai 2018:
RGPD
Tout utilisateur pourra
avoir accès à ses propres
données, les modifier ou
s’opposer à leur utilisation
Dans quel cas nommer le DPO ? Qui peut –être nommé DPO ?
Les missions du DPOLes moyens du DPO
Violation des
données à caractères
personnelles
Le responsable du
traitement est alerté de la
faille de sécurité
Le
responsable
du traitement
notifie la
violation à la
CNIL dans les
meilleurs
délaisAu-delà de 72h, la
notification devra
être accompagnée
des motifs du retard
Responsable du traitement documente
toute violation de données à caractère
personnel, en indiquant les faits
concernant la violation, ses effets et
les mesures prises pour y remédier.
La
documentation
ainsi constituée
permet à
l'autorité de
contrôle de
vérifier le
respect du RGPD
Si la violation
engendre un risque
élevé pour les droits
et libertés d’une
personne physique,
le responsable du
traitement lui
communique la
violation des
données.
La CNIL peut obliger le responsable
du traitement à le faire s’il ne l’a pas
fait
Notification a la CNIL
en cas de violation
Infographie créée et réalisée par LE DROIT EN SCHEMA