1. CCI France / Département Industrie, Innovation, Intelligence économique
Règlement Général sur la Protection des Données
(RGPD)
Octobre 2017
Le règlement n°2016/679 du 14 avril 2016, dit règlement général sur la protection des données
(RGPD) constitue le nouveau texte de référence européen en matière de protection des données
personnelles. ll remplace la directive adoptée en 1995 qui a donné lieu à des différences
d'interprétation et renforce la protection des données pour les individus au sein de l'UE. Il est
d’application directe sur tout le territoire de l’Union et entrera en vigueur le 25 mai 2018. Toutes les
entreprises sont concernées dès lors qu’elles possèdent des fichiers contenant des données à
caractère personnel de résidents européens quelle que soit leur nationalité.
1- Quel est l’objet du RGPD ?
Le RGPD vise à créer un cadre renforcé et harmonisé de la protection des données tenant compte
des récentes évolutions technologiques (Big Data, cloud computing, objets connectés, Intelligence
Artificielle, …) et des défis qui accompagnent ces évolutions. L’individu est placé au cœur du
dispositif légal qui voit ainsi ses droits renforcés (consolidation des obligations d’information,
restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, à
l’effacement, etc.). Sous l’impulsion du RGPD sont ainsi renforcées les devoirs et responsabilités de
toute la chaîne d’acteurs, du responsable de traitement aux partenaires commerciaux en passant
par les sous-traitants fournisseurs de services. Ces contraintes s’appuient notamment sur les
principes de « Privacy by Design » et « d’accountability ». Concrètement, cela signifie que chaque
entreprise doit se doter d’une politique de protection des données globale en s’assurant, dès le
moment de la conception, que le nouveau service qu’elle s’apprête à lancer sur le marché et qui va
lui permettre de collecter des données est bien conforme à la réglementation.
2- Quels sont les principales mesures du RGPD ?
1. Réalisation d’une analyse d’impact avant la mise en place d’un traitement de données
2. Consentement clair et explicite à la collecte des données
3. Accès facilité de la personne à ses données (Droit à l’oubli – Droit de portabilité)
4. Notification des violations de données personnelles (« Data Breach Notification »)
5. La création et la maintenance d’un registre des traitements devient obligatoire
6. Création des délégués à la protection des données (DPD ou DPO, Data Protection Officer) dans
certains cas : organismes publics, organismes dont les activités de base les amènent à réaliser un
suivi régulier et systématique des personnes à grande échelle, …
7. Transfert des données soumis à vérification
8. Restriction du profilage automatisé servant de base à une décision
9. Aggravation des sanctions (de 10 à 20 M€ ou de 2 à 4% du CA annuel mondial)
3- Quelles sont les actions à enclencher dans l’entreprise ?
Se mettre en conformité avec le RGPD suppose de définir au niveau de l’entreprise une Gouvernance
de la Data. Parmi les exemples de mesures nouvelles et déterminantes pour se prémunir contre
d’éventuelles sanctions :
 Désigner un Délégué à la protection des données (DPD)
 Cartographier les traitements actuels et déterminer leurs finalités ainsi que leur durée
 Créer un registre des activités de traitement
 Revoir les contrats de sous-traitance informatique et de gestion des données, les sous-traitants
devant faire la démonstration de la conformité au RGPD de leurs solutions
 Assurer la transparence et l’information des personnes dont les données vont faire l’objet d’un
traitement (consentement clairement obtenu), les informer d’incidents de traitement
 Notifier à la CNIL dans les 72h la survenance d’une faille ou intrusion
 Regrouper la documentation nécessaire pour démontrer la conformité au règlement
 Assurer en interne la mise en place d’un Référentiel Sécurité adéquat et mis à jour (Charte
Utilisateurs des SI, Politique d’habilitation, Politique de gestion des incidents etc.)
 Réaliser des études d’impact.
Qu’est-ce qu’une donnée
personnelle traitée ?
Toute information se rapportant à
une personne physique identifiée
ou identifiable, directement ou
indirectement (nom, adresse
mail, n°
d’identification, localisation, IP,
adresse, données de santé,
revenus, centres d’intérêts etc.)
Traitements de données : toutes
les opérations portant sur les
données personnelles
informatisées ou non (collecte,
utilisation, diffusion,
conservation, consultation
effacement etc.)
__________________________
Lexique
Accountability : elle est défini par
la CNIL comme « l’obligation
pour les entreprises de mettre en
œuvre des mécanismes et des
procédures internes permettant
de démontrer le respect des
règles relatives à la protection
des données ». l’accountability
est au cœur du RGPD.
Privacy by Design : Suivant une
logique de responsabilisation,
chaque acteur doit désormais
s’assurer de la conformité des
traitements qu’il envisage de
mettre en œuvre dès le moment
de leur conception. Cela implique
la mise en œuvre de mesures
organisationnelles et techniques
spécifiques et d’associer
notamment le DPO à chaque
stade de conception d’un
nouveau service.
__________________________
Sites web utiles
Texte du réglement
Site de la CNIL
__________________________
Contacts utiles
ANSSI
CNIL
Votre Direccte
Votre CCI