La mise en conformité : RGPD

• Le RGPD
• La CNIL
• Un peu d’histoire
• La mise en conformité
• Se faire accompagner
• Pour vous aider
• Actualités et condamnations

Le RGPD : Réglement (européen) général de protection des données

Adopté le 27 avril 2016 et applicable depuis le 25 mai 2018.

Il remplace la loi nationale informatique et liberté (n°78-17) qui date du 6 janvier 1978. Cette dernière est à l’origine de la création de la CNIL et a servi de socle au RGPD.

L’objectif est double :

• faire respecter les droits des personnes dont les données sont collectées : garantir la protection de la vie privée. Seules les données des personnes physiques sont concernées.
• permettre le traitement de ces données tout en respectant un cadre d’obligation.

Dès lors qu’il y a collecte de données personnelles (hormis pour un usage privé), il est nécessaire de suivre un certain nombres de règles en matière de respect de la vie privée.

Il faut d’abord comprendre ce qu’est une donnée personnelle et un traitement de données personnelles.

La CNIL

est une autorité administrative indépendante, crée en 1978 par la loi Informatique et Libertés.

Elle est composée d’un Collège de 18 membres issus du Sénat, de l’Assemblée Nationale, du Conseil d’Etat entre autres et d’une équipe d’agents contractuels de l’Etat.

Ses missions :

• Informer et protéger les droits
• Accompagner et conseiller
• Anticiper et innover
• Contrôler et sanctionner

La CNIL en Bref

Un peu d’histoire

En 1974, un scandale éclate concernant le fichage des citoyens français, appelé “projet Safari.”

Le ministère de l’Intérieur projette de collecter et interconnecter des données en provenance de la Sécurité sociale, du Trésor public et de la police.
Dans le contexte de l’après-guerre, l’inquiétude monte quant au fichage des citoyens et des risques de dérive.

En 1978, la loi informatique et liberté est votée, créant la Commission Nationale de l’Informatique et des Libertés, la CNIL, une autorité administrative indépendante.

Par la suite, la marchandisation des données, puis la traçabilité (au quotidien, nous laissons des traces informatiques) vont pousser le législateur à fixer de nouvelles règles vis à vis du secteur privé : directive du 24 octobre 1995 (transposition 6 août 2004), renforcement des obligations des entreprises et nouveaux pouvoirs pour la CNIL : les sanctions financières.

Puis vint l’explosion des technologies qui “surveillent” les personnes : objets connectés, géolocalisation… Mais aussi les problématiques sécuritaires (liés au terrorisme notamment…), qui nécessitent de la surveillance. Le règlement européen de 2016 en a découlé.

C’est la fin des déclarations à la CNIL, remplacées par l’obligation de documenter sa conformité : principe de responsabilité.
La CNIL se voit doter d’un régime de sanctions administratives beaucoup plus fort : 4% du chiffre d’affaire mondial d’une entreprise ou jusqu’à 20 millions d’euros.
Le règlement prend aussi en compte la circulation des données hors de l’Europe.

La mise en conformité

L’entreprise (ou affilié) est responsable de sa conformité : transparence et responsabilisation.

L’entreprise doit s’assurer que les personnes sont informées de leurs droits, des conditions de collecte… : principe de transparence.
La collecte des données doit reposer sur une des 6 bases légales (licéité) : consentement, contrat, obligation légale, intérêt légitime, sauvegarde des intérêts vitaux, intérêt public.

Cette collecte doit être loyale et transparente au regard de la personne concernée, avoir une finalité légitime et respecter le principe de minimisation.  La durée de conservation des données actives doit être limitée, elles sont alors supprimées ou archivées ou anonymisées.

L’entreprise doit documenter sa conformité : tenir à jour un registre des traitements et l’accompagner de tous les documents en relation (les mentions d’information, les formulaires de consentement, les procédures d’exercices des droits, les analyses d’impact…)

Le registre des traitements contient la liste des traitements de données et pour chaque traitement, des informations sur ce traitement : les parties prenantes, les catégories de données, à quoi elles servent (la finalité), qui y a accès, leurs temps de conservation, leur sécurisation…
Sa constitution permet de s’interroger sur les données dont l’entreprise à réellement besoin, la base légale de la collecte, la durée de conservation des données, la pertinence (principe de minimisation).

La CNIL publie un nouveau modèle de registre simplifié et elle met aussi à disposition son propre registre des traitements.

L’entreprise doit s’assurer que les droits des personnes sont bien respectés (accès, rectification, opposition, effacement).
Elle doit prévoir des procédures pour pouvoir respecter ses droits.
Le RGPD introduit 3 nouveaux droits : portabilité, limitation du traitement, décision individuelle automatisée.

La notion de sécurisation des données est beaucoup plus forte et toute violation de données doit être déclarée.

La CNIL propose quelques outils pour améliorer cette sécurisation.

Dans certains cas, l’entreprise doit nommer une DPO : Data Protection Officer.

Pour tous les traitements à risque c’est-à-dire susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, notamment lors de traitements de données sensibles, le responsable de traitement devra conduire une analyse d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.

La CNIL met à disposition un outil open source le PIA pour faciliter la conduite et la formalisation d’analyses d’impact relatives à la protection des données.

Le Youtubeur « Cookie Connecté » a collaboré avec la CNIL pour réaliser une vidéo sur le RGPD.

Se faire accompagner

Consultez la liste des acteurs en Occitanie

Pour vous aider :

Le petit guide de la CNIL pour débuter

4 modules pour s’initier au RGPD et débuter facilement sa conformité.

• module 1 : le RGPD et ses notions clés
• module 2 : les principes de la protection des données
• module 3 : les responsabilités des acteurs
• module 4 : le DPO et les outils de la conformité

Le guide CNIL-BPI France pour les TPE/PME

Les dernières actualités de la CNIL

• Appel à projet de la CNIL pour accompagné des projets de santé innovants avec des enjeux de privacy – 15 février 2021
• Rappel des bonnes pratiques concernant le télétravail – 12 mai 2020
• RGPD et Ressources humaines, la CNIL publie son nouveau référentiel – 15 avril 2020
• Les conseils de la CNIL pour utiliser une nouvelle solution de visioconférence, mise en avant de la solution d’Occitanie Tixeo – 9 avril 2020
• Nouvelle édition des incollables pour tester la protection de sa vie privée sur internet – 2 avril 2020
• Les bonnes pratiques du BYOD – 24 mars 2020

Quelques cas de condamnation

• La CNIL sanctionne deux médecins libéraux pour données personnelles insuffisamment protégées et non notification de violation de données – 17 décembre 2020
• Sanction de près de 3 millions d’euros pour Carrefour pour non respect du RGPD – 26 novembre 2020
• Spartoo : sanction de 250 000 € suite à plusieurs manquement au RGPD – 5 août 2020
• ACTIVE ASSURANCES : sanction de 180 000 € pour atteinte à la sécurité des données des clients – 25 juillet 2019
• SERGIC : sanction de 400 000€ pour atteinte à la sécurité des données et non-respect des durées de conservation – 6 juin 2019
• Google – 50 millions € d’amende pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité – 21 janvier 2019
• UBER – 400 000 € d’amende pour avoir insuffisamment sécurisé les données des utilisateurs de son service de VTC – 20 décembre 2018
• Bouygues telecom – 250 000 € d’amende pour manque de protection des données de clients B&You – 27 décembre 2018
• Darty – 100 000 € d’amende pour la sécurité jugée insuffisante des données des clients ayant effectué une demande en ligne de SAV – 9 janvier 2018

Consulter la liste des mises en demeure.

Consulter la liste des sanctions prononcées.