Nouvelles règles sur la protection des données personnelles : c’est maintenant !

Le règlement européen sur la protection des données à caractère personnel (RGPD) est entré en vigueur le 25 mai 2018. Une nouvelle loi sur la protection des données vient également d’être adoptée par le Parlement français et sera promulguée après la décision du Conseil constitutionnel qui a été saisi le 16 mai 2018.

Toutes les structures et tous les organismes de solidarité (ainsi que leurs sous-traitants) sont concernés par la mise en conformité aux nouvelles obligations européennes, notamment dans le cadre du traitement des données des personnes qu’ils accueillent (logiciels/fichiers informatisés ou dossiers papier).

Quelques rappels pour se mettre en conformité avec les nouvelles règles
Qu’est-ce que le RGPD ?

Adopté par le Parlement européen le 14 avril 2016, ce règlement européen offre un cadre légal unifié sur la protection des données à caractère personnel et est directement applicable dans l'ensemble des 28 États membres de l'Union européenne.

Il a pour objectif de :

  • Renforcer les droits de personnes en prévoyant notamment l’obligation de leur fournir une information claire sur le traitement de leurs données et en consacrant un « droit à la portabilité » de leurs données.
  • Responsabiliser chaque acteur dès la conception d’un système de traitement de données. Chaque organisme doit se doter d’une politique de protection des données globale visant à garantir le respect de la vie privée des personnes dont les données sont traitées et s’assurer de sa conformité à la nouvelle réglementation.

Le RGPD renforce également les sanctions en cas de non respect des nouvelles règles : les responsables des traitements des données personnelles pourront se voir infliger des amendes allant jusqu’à 20 millions d’euros et 4% de leur chiffre d’affaires mondial.

Que faut-il faire ?

La mise en conformité au RGPD implique pour les organismes de :

  1. Désigner un délégué à la protection des données qui exercera une mission d’information, de conseil et de contrôle en interne
  2. Recenser de façon précise les traitements de données personnelles utilisés
  3. Identifier et prioriser les actions à mener pour leur mise en conformité aux nouvelles obligations
  4. Identifier les risques associés aux opérations de traitement et prendre les mesures nécessaires à leur prévention ;
  5. Mettre en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment et de l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire, portabilité).
  6. Assurer une documentation assurant la traçabilité des mesures et composée des éléments suivants :
  • Etablir un registre détaillé des traitements qui devra obligatoirement être conservé par le responsable du traitement et par ses éventuels sous-traitants et être mis à disposition des autorités de contrôle.
  • Réaliser une analyse d’impact sur la vie privée (PIA) avant la mise en place d’un traitement de données pouvant présenter des risques élevés pour la protection des données personnelles (comme par exemple en cas de traitement de données de santé);
  • Définir les procédures en cas de violation de données (notamment information des personnes et de la CNIL en cas de notification de failles de sécurité).
  • Préciser les modalités d’information des personnes : mentions d’information, modèles de recueil du consentement des personnes concernées, procédures mises en place pour l'exercice des droits
  • Etablir les contrats avec les prestataires et sous-traitant (vérifier la conformité des clauses au RGPD et le rôle/responsabilité de chaque partie)

La CNIL a élaboré des outils pour vous aider dans votre mise en conformité avec le RGPD. En cas de questions ou de difficultés il est possible de la saisir directement (en cliquant sur ce lien) ou de contacter la fédération pour qu’elle la saisisse.

Ci-dessous un article de la CNIL reprenant l’ensemble de ces outils.

 ⬇️⬇️⬇️

La CNIL vous accompagne

Les professionnels peuvent d’ores et déjà s’appuyer sur de nombreux outils de préparation et de mise en conformité au RGPD, disponibles sur le site internet de la CNIL :

Comprendre le RGPD
Démarrer sa mise en conformité

La CNIL a décidé de maintenir temporairement accessibles sur son site ses différentes normes (autorisations uniques, normes simplifiées, dispenses, etc.), dans l’attente de l’élaboration de référentiels pleinement à jour au regard du RGPD, afin de permettre aux responsables de traitement de s’y référer en tant que de besoin, à titre d’éléments de doctrine.

Les outils à venir dans les mois qui viennent
  • Un formulaire de déclaration de la CNIL comme autorité chef de file pour les traitements de données transfrontaliers ;
  • Concernant les analyses d’impact (publication en juin), la CNIL travaille à l’élaboration :
    • De lignes directrices ;
    • De la liste des traitements obligatoirement soumis à la réalisation d’une analyse d’impact  ;
    • De la liste des traitements pour lesquels, au contraire, aucune analyse n’est requise.

Ces listes permettront aux responsables de traitement concernés de savoir s’ils sont ou non soumis à cette obligation. Ces listes devront également être soumises au mécanisme de coopération européenne afin d’assurer une harmonisation de ces instruments au niveau européen.

  • Des référentiels : ces nouveaux textes permettront à la CNIL de décliner, dans un secteur d’activité précis, les grands principes portés par le RGPD pour offrir un cadre juridique clair et sécurisé permettant aux responsables de traitement concernés. Ils s’appuieront sur la doctrine établie par la CNIL depuis de nombreuses années (autorisations uniques, normes simplifiées, packs de conformité, etc.) en l’actualisant au regard des nouvelles exigences issues du RGPD. Certains de ces référentiels seront portés par la CNIL au niveau européen.

 

 

 

ImprimerE-mail

Connectez-vous à votre compte