{"id":20108,"date":"2018-01-20T18:37:52","date_gmt":"2018-01-20T17:37:52","guid":{"rendered":"https:\/\/www.solypse.com\/?p=18420"},"modified":"2021-08-22T13:49:53","modified_gmt":"2021-08-22T11:49:53","slug":"rgpd-entreprise-savoir","status":"publish","type":"post","link":"https:\/\/www.solypse.com\/en\/rgpd-entreprise-savoir\/","title":{"rendered":"GDPR : what your company should know"},"content":{"rendered":"
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Le RGPD, qu\u2019est-ce que c\u2019est\u00a0?<\/h2>
\u00a0<\/div>

Le\u00a0RGPD\u00a0(r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es, GDRP en anglais) est un r\u00e8glement europ\u00e9en entr\u00e9 en vigueur le 24 mai 2016. Il deviendra obligatoire le 25 mai 2018<\/strong>, les entreprises ont 2 ans pour se mettre en conformit\u00e9<\/strong>.<\/span> C’est un changement majeur \u00e0 la suite de la directive donn\u00e9es personnelles de 1995, au tout d\u00e9but d’Internet alors que des sujets aujourd’hui au\u00a0c\u0153ur du d\u00e9bat l\u00e9gislatif : protection de la vie priv\u00e9e, droit \u00e0 l’oubli, ou encore surveillance n’\u00e9taient pas ou peu abord\u00e9s.<\/p>

Pour les utilisateurs, les principaux changements sont le droit de refuser le traitement de ses donn\u00e9es<\/strong>,<\/span> d’avoir un droit\u00a0de regard sur celles-ci, et d’avoir sa vie priv\u00e9e prot\u00e9g\u00e9e. Pour les entreprises, harmonisation entre pays de l’UE, contraignant \u00e9galement pour les entreprises extra-europ\u00e9ennes du moment qu’elles traitent les donn\u00e9es de personnes physiques citoyennes europ\u00e9ennes, et besoin de protection syst\u00e9matique des donn\u00e9es, sanctions plus \u00e9lev\u00e9es en cas de non-respect.<\/strong><\/span><\/p>

Les points remarquables<\/span>\u00a0de la RGPD<\/h2>

\u00a0<\/p>

  1. une donn\u00e9e personnelle est une donn\u00e9e permettant d’identifier directement ou indirectement une personne physique (moins de 13 ans : interdit, moins de 16 ans : accord parental, plus de 16 ans : cas g\u00e9n\u00e9ral)<\/li>
  2. Obligation pour tout entreprise de plus de 250 salari\u00e9s de tenir un registre des donn\u00e9es trait\u00e9es.<\/li>
  3. Pour les entreprises de moins de 250 salair\u00e9s, un registre est n\u00e9cessaire si les donn\u00e9es trait\u00e9es sont sensibles\/judiciaires\/comportent des risques (religion, politique, sant\u00e9, sexualit\u00e9, condamnations…) OU ou si le traitement est habituel (gestion RH, client\u00e8le).<\/li>
  4. Obligation de notification en cas de violation de la s\u00e9curit\u00e9 des donn\u00e9es, CNIL en France : https:\/\/www.cnil.fr\/fr\/notifier-une-violation-de-donnees-personnelles (au passage, pour signaler une faille de s\u00e9curit\u00e9 : https:\/\/www.ssi.gouv.fr\/actualite\/vous-souhaitez-declarer-une-faille-de-securite\/).<\/li>
  5. Le transfert des donn\u00e9es dans un pays tiers est autoris\u00e9 si le niveau de protection est ad\u00e9quat. Sanctions jusqu’\u00e0 4M\u20ac ou 4% du CA. Avant la sanction maximale de la CNIL=150k\u20ac, 300k\u20ac si r\u00e9cidive.<\/li>
  6. Un responsable de la protection des donn\u00e9es doit \u00eatre d\u00e9sign\u00e9 dans l’entreprise CJUE et CEDH comp\u00e9tents sur ces probl\u00e9matiques.<\/li>
  7. L’ex\u00e9cution d’un contrat ne doit pas \u00eatre subordonn\u00e9 \u00e0 l’acceptation du traitement des donn\u00e9es.\u00a0\u00bb\u00a0<\/li>
  8. Les obligations concernent l’entreprise en charge du traitement et les sous-traitants.<\/li>
  9. Il existe des autorisations \/d\u00e9rogations sp\u00e9cifiques pour la religion, les \u00e9lections ou l’humanitaire.<\/li><\/ol>

    \u00a0<\/h2>

    FAQ RGDP<\/h2>

    \u00a0<\/h3>

    Est-ce que votre entreprise fait plus de 250 personnes ? <\/strong><\/h3>

    Vous devez alors obligatoirement nommer un \u00ab D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es \u00bb responsable vie priv\u00e9e et s\u00e9curit\u00e9 des donn\u00e9es. Ce dernier doit \u00eatre l’interlocuteur privil\u00e9gi\u00e9 entre votre entreprise et la CNIL, mais \u00e9galement face aux interrogations des employ\u00e9s. \u00a0Il est possible que ce r\u00f4le soit externalis\u00e9.<\/p>

    Avez-vous un registre des donn\u00e9es que vous traitez ainsi que des applications et des personnes qui les utilisent ?<\/strong><\/h3>

    Ce genre d’information est indispensable dans la nouvelle loi, et vous permet \u00e9galement d’avoir une meilleure visibilit\u00e9 sur vos donn\u00e9es.<\/p>

    Savez-vous quels sous-traitants utilisent quelles donn\u00e9es ?<\/strong><\/h3>

    La\u00a0RGPD\u00a0touche aussi bien l’entreprise que ses sous-traitants, il est indispensable que la s\u00e9curit\u00e9 et la vie priv\u00e9e soient garanties chez les deux acteurs. Prenez-contact avec eux pour savoir quels processus et quels engagements ils respectent, et engagez-le contractuellement.<\/p>

    Votre personnel est-il sensibilis\u00e9 \u00e0 la protection des donn\u00e9es ?<\/strong><\/h3>

    Si le\u00a0RGPD\u00a0ne cible pas sp\u00e9cifiquement les employ\u00e9s, ils devront tous faire bien attention aux modalit\u00e9s de traitement des donn\u00e9es, car les erreurs commises\u00a0risquent de fragiliser toute l’entreprise.<\/p>

    Votre site web est-il mis \u00e0 jour ? Ainsi que ses sous-domaines et sites associ\u00e9s ?<\/strong><\/h3>

    Les services de cookie, analytics, etc. permettent d’identifier les utilisateurs, ils doivent donc \u00eatre trait\u00e9s en conformit\u00e9 avec la loi. Il n’est plus possible de suivre syst\u00e9matiquement les utilisateurs pour un but aussi large que possible, et sans leur donner la possibilit\u00e9 de refuser.<\/p>

    Vous n’\u00eates pas s\u00fbrs ? <\/strong><\/h3>

    La CNIL propose gratuitement un outil appel\u00e9 PIA.<\/p>

    Le Royaume-Uni est-il \u00e9galement concern\u00e9 ? <\/strong><\/h3>

    Le d\u00e9part du Royaume-Uni n’a lieu qu’en 2019, et le RGPD a \u00e9t\u00e9 vot\u00e9 avant m\u00eame le referendum donc oui, les entreprises et citoyens britanniques sont \u00e9galement concern\u00e9s. On ne sait pas si le \u00ab repel bill \u00bb annulera \u00e9galement ce r\u00e8glement, mais c’est peu probable, les \u00e9tats de l’EEE comme l’Islande devant \u00e9galement s’y conformer, et le droit national britannique pr\u00e9voyant d\u00e9j\u00e0 la protection des donn\u00e9es.<\/p>

    Ce n’est plus possible d’envoyer mon marketing \u00e0 tous mes clients\/\u00e0 des bases de donn\u00e9es d’adresses trouv\u00e9es ne ligne ?<\/strong><\/h3>

    Non, il faudra obtenir leur consentement explicite \u00e0 l’envoi. Cependant, cela permet une communication beaucoup plus efficace.<\/p>

    \u00a0<\/p>

    Ressources utiles<\/h2>