RGPD
Licéité loyauté Transparence
PAROLES D’EXPERT
Intégrité et confidentialité
Limitation des finalités
LE RGPD les 6 principes Limitation de la conservation
Minimisation des données
Exactitude
Qu’est-ce qu’une donnée à caractère personnel ?
LE RGPD : c’est quoi ?
L
e RGPD - Règlement général sur la protection des données du 27 avril 2016 est le cadre juridique de l’Union européenne qui gouverne la collecte, le traitement et la circulation des données à caractère personnel. Il est entré en vigueur le 25 mai 2018.
Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
DPO Manager accompagne/forme les organismes dans leur mise en conformité RGPD. La fondatrice de DPO Manager propose un rappel sur le RGPD pour ENERGIE MAGAZINE.
U
ne donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.
Une personne physique peut être identifiée directement ou indirectement. C’est à dire que l’identification d’une personne physique peut être réalisée à partir d’une seule donnée ou à partir du croisement d’un ensemble de données :
- Un nom - Une photo - Une empreinte - Une adresse postale - Une adresse mail - Un numéro de téléphone - Un numéro de sécurité sociale - Un matricule interne, - Une adresse IP - Un identifiant de connexion informatique - Un enregistrement vocal, - etc...
- qu’elle est établie sur le territoire de l’Union européenne, - ou que son activité cible directement des résidents européens.
020
S’il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l’utilisation de moyens techniques divers, d’identifier une personne, les données sont toujours considérées comme personnelles.
021
RGPD PAROLES D’EXPERT
RGPD PAROLES D’EXPERT
Qu’est-ce qu’un traitement de données ?
LES 6 ACTIONS CLES D’UNE MISE EN CONFORMITE - Cartographier les données, recenser précisément les données, leurs traitements, de leurs flux, des composantes par lesquelles elles circulent, et des acteurs qui les traitent. - Mettre en place un registre des traitements Le registre mentionne notamment le nom et les coordonnées de l’entreprise responsable du traitement et du DPD/DPO, les finalités du traitement, la description des catégories des personnes concernées, les délais prévus pour l’effacement des données, la description des mesures de sécurité pour les protéger. Il décrit les traitements et documente leur conformité au règlement et à la loi nationale afin de pouvoir en justifier, à tout moment, en cas de contrôle de la Cnil. - Gérer Mener des analyses d’impact pour les traitements considérés comme présentant « un risque élevé » pour les personnes. - Veiller à encadrer l’information des personnes concernées (patients, fournisseurs, étudiants, usagers, etc.) et s’assurer de l’effectivité de leurs droits (droit d’accès, de rectification, d’opposition, etc.). - Désigner un délégué à la protection des données – DPO lorsque cela est obligatoire. - Renseigner les actions menées pour garantir la sécurité des données
Les sous-traitants : Lorsqu’un traitement est effectué par un sous-traitant tel qu’un prestataire de service informatique ou un prestataire proposant un service impliquant de traiter les données pour le compte du responsable de traitement, celui-ci doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Comment gérer votre relation avec un sous-traitant ? 1 - Demander au sous-traitant quelle est sa politique de protection des données à caractères personnel 2 - Documenter les instructions données en matière de sécurité et de confidentialité. 3 - Élaborer un contrat entre les acteurs mentionnant leurs obligations respectives 4 - Effectuer une revue des contrats existant pour vérifier les mentions obligatoires
FOCUS : LE DOSSIER PAPIER EST ÉGALEMENT CONCERNÉ ?
Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement.
Le RGPD s’applique à tout support qui traite de données personnelles, numérique mais également les documents papier, l’informatisation est une forte exigence de la part des jeunes professionnels des filières. Les structures sont soumises aux mêmes exigences de sécurité, fût-ce par d’autres moyens (armoire fermant à clé, usage d’une correspondance garantissant la confidentialité).
Un traitement de données doit avoir un objectif, une finalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour. À chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle. Exemples de traitements devant être conforme au RGPD :
En Interne
Relation clients/Partenaires
Digital
Gestion du recrutement
Envoi/Réception de courriers
Photos/vidéos Clients/Partenaires
Gestion de la paye
Facturation/Règlements
Site web
Plan de formation
Gestion des fichiers clients/prospects
Formulaire de contact
Gestion des accès
022
Gestions du fichier Fournisseurs/Partenaires
PUB
PUB
Newsletter
023