RGPD

Le RGPD ou Règlement général sur la Protection des Données est entré en vigueur le 25 Mai 2018. Ce règlement européen a pour but de garantir une meilleure protection des données à caractère personnel gérées par les entreprises.


 Qui est concerné ?

Toute entreprise qui gère des données personnelles de personnes physiques appartenant à l'Union européenne est concernée. Les personnes physiques peuvent désigner un client, un prospect, un employé ou un collaborateur.


 Qu'est ce qu'une donnée à caractère personnel ?

Selon le RGPD, "est une donnée à caractère personnel toute donnée permettant d'identifier directement ou indirectement un citoyen européen."

 Exemples de données ou de documents à caractère personnel permettant une identification directe:

- Un nom, un prénom, une photo, une fiche de paye, une facture, ...

  Exemples de données ou de documents à caractère personnel permettant une identification indirecte:

Par identification indirecte, le règlement entend toute donnée qui permettrait d'identifier une personne en la croisant avec d'autres sources de données.

- Un numéro de téléphone, un numéro de sécurité sociale, une adresse ip, une plaque d'immatriculation, une adresse, ...

 Attention :

Les noms et coordonnées d'une société ne sont pas des données personnelles car elle représente la personne morale et nom la personne physique.

S'il est possible sur un fichier de recouper plusieurs informations (âge, sexe, ville, ...) afin d'identifier une personne alors les données du recoupage sont considérées comme personnelles.

Vous pouvez ainsi constater que l'on a des données à caractère personnel partout autour de nous.


  Quelles sont vos obligations ?

Les obligations du RGPD sont nombreuses. Nous vous présentons donc les exigences clés qu'une entreprise doit respecter afin d'être en conformité avec le règlement.

  Informer de leurs droits toutes les personnes physiques dont des données à caractère personnel sont collectées : les personnes doivent connaître le but de la collecte des données et jusqu'à quand leurs données seront enregistrées. Elles doivent aussi être alertées en cas de fuite ou transfert non prévu des données qui les concernent.

  Obtenir le consentement clair des personnes pour lesquelles les données sont collectées.

  Fournir aux personnes les moyens d'exercer leur droit de visualisation, rectification et suppression des données les concernant. Ainsi une personne physique doit pouvoir obtenir l'accès à ses données personnelles gratuitement et pouvoir rectifier ou supprimer les données le concernant. Il revient donc à l'employeur de s'assurer que les outils et logiciels qu'il utilise sont en conformité avec la règlementation.

  Tenir un registre des activités de traitement liés au RGPD. Il s'agit d'une des obligations majeures du RGPD. Ce registre est obligatoire car il servira de document de référence en cas de contrôle. Le but de ce document est de cartographier l'ensemble des traitements concernés par la règlementation. Pour plus d'informations sur le registre des traitements, veuillez  cliquez ici.

  Nommer un DPO (Délégué à la protection des données). Le DPO est la personne en charge du respect des règles du RGPD; il peut être interne ou externe à l'entreprise. Cette mesure est une obligation uniquement si votre entreprise traite des données sensibles à grande échelle.

Par donnée sensible, nous entendons les données de santé, race, orientation sexuelle, ...


   Quelles sont les risques?

Les sanctions dépendent de la gravité des violations observées par la CNIL. Dans un premier temps, l'entreprise pourrait faire l'objet d'un avertissement ou d'une mise en demeure pour l'obliger à se finaliser sa mise en conformité. Dans d'autres cas plus sérieux, les traitements sur les données pourront être limités ou suspendus. Enfin, pour les entreprises qui, malgrè les mises en gardes préalables, ne se mettraient pas en conformité, la CNIL pourrait infliger les amendes suivantes :

  2% du chiffre d’affaires mondial d’une entreprise ou 10 millions d’euros d’amende, pour notamment défaut de tenue d’un registre des traitements, défaut d’étude d’impact sur la vie privée en cas de données sensibles (orientations sexuelles, politiques, informations médicales…), défaut d’annonce suite à une faille décelée, et problèmes de sécurité.

  4% du chiffre d’affaires mondial d’une entreprise, ou 20 millions d’euros d’amende, pour défaut de consentement, traitements de données illégaux, non-respect des droits des personnes.


Nos recommandations :

Collectez uniquement  les données personnelles nécessaires et utiles à votre activité

  Listez les traitements de données personnelles que vous utilisez et vérifiez leur conformité avec la règlementation

  Tenez un registre des traitements mis en oeuvre

  Assurez vous que des procédures de consentement soient mises en place pour les collectes de données personnelles

  Mettez en place un moyen de contact afin que les personnes puissent exercer leurs droits de visualisation, rectification et suppression de données.

  Vérifiez la politique de sécurité de votre système d'information

  Rédigez une charte pour vos collaborateurs 


Ressources pratiques :

Loi européenne sur le RGPD

Règlement européen sur la protection des données : ce qui change pour les professionnels

RGPD : notions clés et bons réflexes

RGPD : par où commencer ?

RGPD : se préparer en 6 étapes

RGPD : passer à l'action

Conformité RGPD : comment informer les personnes et assurer la transparence ?

RGPD en pratique : protéger les données de vos collaborateurs








 



RGPD

A propos

GID Informatique : société de services informatique

 intervenant dans les Hauts de France: Lille, Douai, 

Lens, Arras, Valenciennes, Amiens, Cambrai, ...

 

-Développement logiciel Windev et Webdev

-ERP Wavesoft

-Administration système et réseau

-Téléphonie sur IP 3CX

GID 

Société de services et d'ingénierie informatique 


309 rue de Cambrai

59500 Douai

    03.27.95.86.00

   contact@gid.fr