Newsletter N°7 Le Dossier : LE RGPD selon JCDecaux

26/9/2017

Véronique TIREL, Correspondante informatique et Libertés de JCDecaux, nous explique l’importance de ce nouveau Réglement

Le Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) a été adopté le
27 avril 2016 et sera applicable à compter du 25 mai 2018 dans chaque pays de l’Union européenne.

Les principes fondamentaux

Les principes de la règlementation actuelle (Loi Informatique et Libertés en France, modifiée récemment par la Loi Lemaire) sont réaffirmés : licéité, loyauté, transparence, limitation des finalités et des durées de conservation, minimisation et exactitude des données.

La Sécurité est érigée en principe : un traitement de données à caractère personnel doit par défaut être sécurisé pour se conformer au RGPD.

Et selon le nouveau principe de Responsabilité (Accountability), l’entreprise est responsable de sa conformité et doit être en mesure d’en apporter la preuve (procédures, politiques, solutions techniques…).

Se conformer au RGPD, cela vaut dire notamment :

  • désigner un Data Protection Officer - DPO (cf. cas de désignation obligatoire). Si le DPO n’est pas obligatoire, il est toutefois recommandé de désigner un collaborateur (ou une personne externe, avocat par exemple) pour piloter le sujet.

  • cartographier les applications IT et recenser l’ensemble des traitements de données personnelles ;

  • sensibiliser/former le personnel sur la protection des données et les obligations ;

  • analyser tout traitement de données en amont pour une prise en compte de la Vie privée et de la Sécurité dès la conception (Privacy by design, Security by default) ;

  • réaliser une analyse de risque en amont de chaque traitement (approche par le risque) et adapter les mesures de protection et de sécurité au niveau de risque ;

  • effectuer un PIA (Privacy Impact Assessment – Analyse d’impact sur la vie privée) si requis A noter : la Cnil doit préciser ces traitements et mettre un outil à disposition des entreprises ;

  • réaliser des audits réguliers sur les traitements les plus sensibles ;

  • intégrer des clauses spécifiques dans les contrats signés avec les sous-traitants/partenaires pour encadrer les traitements de données et préciser les obligations de chacune des parties ;

  • informer les personnes concernées (salariés, clients…) de leurs droits (accès, rectification, opposition…) et gérer leurs demandes/réclamations.

A noter : le GDPR apporte de nouveaux droits, comme le droit à la portabilité et le droit à l’oubli ;

  • tenir à jour un registre dans lequel chaque traitement de données personnelles est décrit.

A noter : le Sous-Traitant (ST) voit dorénavant sa responsabilité engagée par le RGPD et doit tenir un registre des traitements. Ainsi une entreprise ayant à la fois la casquette Responsable de traitement et ST devra tenir deux registres ;

  • se préparer à notifier une violation de données personnelles à la Cnil et, si requis, aux personnes concernées.

 

Quels sont les risques pour toute entreprise ?

Outre le risque sur la réputation (en cas d’avertissement public de la Cnil, par exemple) et le risque business (cessation immédiate d’un traitement, perte de confiance des clients ou partenaires), le niveau des sanctions administratives explose avec le RGPD : 4 % du CA mondial ou 20 millions d’euros (le plus élevé des deux). A cela viennent s’ajouter de possibles sanctions pénales et actions en provenance des personnes concernées par les traitements.

 

Donc on l’a bien compris, la protection des données personnelles est un sujet que chacun d’entre nous doit s’approprier au plus vite, si ce n’est déjà fait , et EdiPub peut vous aider à mettre en œuvre le RGPD chez vous si vous le souhaitez .

 

[title-raw]
X
En cours de chargement