RGPD (Règlement général sur la protection des données)En Anglais : General Data Protection Regulation, GDPR
Le règlement général sur la protection des données (RGPD) (règlement n° 2016/679) est un texte de référence européen qui renforce et unifie la protection des données à caractère personnel pour les individus au sein de l'Union européenne.
Qu’est-ce que le règlement général sur la protection des données (RGPD) ?
Le règlement européen sur la protection des données ou RGPD est une directive européenne qui oblige toutes les entreprises et les administrations, à respecter certaines règles concernant le traitement des données à caractère personnel.
Ci-dessous quelques dispositions principales :
- Un cadre Européen harmonisé : ce règlement touche tous les pays de l’Union Européenne et donc toutes les données des entreprises et personnes du territoire
- Une application extra-territoriale : Les entreprises hors UE devront appliquer ses règles concernant les données des entreprises et personnes de l’UE
- Un consentement « explicite » et « positif » : les entreprises et organismes ne pourront communiquer que vers les personnes les ayant autorisés à le faire et ils devront pouvoir être en capacité de prouver ce consentement (fini les opt-in passifs : vous êtes clients ou prospect de mon entreprise, je peux communiquer vers vous, il faudra une autorisation préalable du destinataire)
- Le droit à l’effacement : la personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais
- La nomination obligatoire d'un délégué à la protection des données (Data Protection Officer en anglais).
Mon entreprise est-elle concernée par le RGPD ?
A partir du 25 mai 2018, toutes les entreprises qui gèrent des traitements de données à caractère personnel seront dans l’obligation d’être en conformité avec le RGPD.
Les modes de stockage et de traitement des données personnelles utilisés par les entreprises seront désormais observés à la loupe. Les transgressions étant passibles de sanctions pouvant atteindre 4 % du chiffre d'affaires annuel mondial, toute entreprise qui prend le parti d'ignorer le RGPD le fait à ses risques et périls.
L’obligation de désigner un Délégué à la Protection des Données ou Data Protection Officer
Le Règlement Européen du 27 avril 2016 relatif aux données personnelles impose la désignation d’un Délégué à la Protection des Données (DPD) en anglais Data Protection Officer (DPO) dans trois situations :
- Pour les traitements réalisés par une autorité ou un organisme public ;
- Pour les organismes ayant pour activité de base des opérations de traitement nécessitant le suivi régulier et systématique des personnes à grande échelle;
- Pour les organismes ayant pour activité de base le traitement à grande échelle de données dites « sensibles » ou relatives aux condamnations pénales et infractions.
La deuxième hypothèse de désignation obligatoire d’un délégué à la protection des données semble contraindre un très large panel d’organismes tant le traitement des données personnelles fait aujourd’hui partie intégrante de la vie des entreprises.
La certification RGPD de la CNIL
A ce jour, il n'y a pas de certification RGPD de la CNIL (Commission nationale de l'informatique et des libertés). Le projet de référentiel de certification est en cours d'élaboration que cela soit au niveau français ou européen.
Sur le site de la CNIL, il est dit :
"Le Règlement européen et le projet de loi actuellement en discussion au Parlement invitent les autorités de protection des données à développer les mécanismes de certification en matière de protection des données, afin d’assister les responsables de traitement dans leurs démarches de conformité.
Les certifications seront délivrées par des organismes certificateurs agréés par la CNIL ou accrédités par l’organisme national d’accréditation (COFRAC). La CNIL aura en outre pour mission d’élaborer ou d’approuver les référentiels de certification qui seront utilisés par les certificateurs, ainsi que, le cas échéant, les référentiels d’agrément"
La CNIL "met fin à son activité de labellisation afin de proposer une certification, Les labels émis avant l’entrée en application du règlement restent valables jusqu’à leur date d’échéance mais n’emportent pas tous de conséquence sur le plan de la conformité RGPD".
Les certifications proposées à ce jour sur le RGPD ou le Délégué à la Protection de Données / Data Privacy Officerne ne sont pas officiellement reconnues par la CNIL et au niveau Européen.
Mis à jour le 18/04/2018