visuel fiche Point Sur

"Point Sur"

Faites le tour d'un sujet, en moins de 2 minutes : Enjeux, définitions, concepts clés, contacts utiles, références bibliographique, … permettent de manière simple, rapide et didactique de comprendre les dispositifs et les thématiques qui pourraient avoir un impact ou un intérêt pour vos activités.

Mots-clés :

Sommaire
  • Règlement Général sur la Protection des Données (RGPD)
  • Plan d'actions pour l'investissement et la croissance des entreprises
  • L'Intelligence artificielle (IA)
  • Le Design Thinking (La pensée design)
  • Suramortissement : une mesure exceptionnelle pour soutenir l'investissement productif
  • L'Innovation ouverte
  • Le crowdfunding
  • Crédit Impôt Recherche
  • L'enveloppe Soleau
  • La Blockchain
  • Tourisme industriel : Mode d'emploi
  • Le Brevet européen à effet unitaire
  • Le biomimétisme
  • Le Big Data
  • L'Analyse de la valeur - Concevoir à coût minimum en améliorant la qualité
  • Arnaque au président
  • Industrie du Futur - Un plan pour moderniser l'outil de production
  • Programme Investissement d'avenirs
  • CICE - Crédit d'Impôt Compétitivité Emploi
  • Origine France Garantie
  • Programme cadre de recherche et innovation « Horizon 2020 »

Règlement Général sur la Protection des Données (RGPD)

Le règlement n°2016/679 du 14 avril 2016, dit règlement général sur la protection des données (RGPD) constitue le nouveau texte de référence européen en matière de protection des données personnelles. ll remplace la directive adoptée en 1995 qui a donné lieu à des différences d'interprétation et renforce la protection des données pour les individus au sein de l'UE. Il est d'application directe sur tout le territoire de l'Union et entrera en vigueur le 25 mai 2018. Toutes les entreprises sont concernées dès lors qu'elles possèdent des fichiers contenant des données à caractère personnel de résidents européens quelle que soit leur nationalité.

Quel est l'objet du RGPD ?

Le RGPD vise à créer un cadre renforcé et harmonisé de la protection des données tenant compte des récentes évolutions technologiques (Big Data, cloud computing, objets connectés, Intelligence Artificielle, …) et des défis qui accompagnent ces évolutions. L'individu est placé au coeur du dispositif légal qui voit ainsi ses droits renforcés (consolidation des obligations d'information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, à l'effacement, etc.). Sous l'impulsion du RGPD sont ainsi renforcées les devoirs et responsabilités de toute la chaîne d'acteurs, du responsable de traitement aux partenaires commerciaux en passant par les sous-traitants fournisseurs de services. Ces contraintes s'appuient notamment sur les principes de « Privacy by Design » et « d'accountability ». Concrètement, cela signifie que chaque entreprise doit se doter d'une politique de protection des données globale en s'assurant, dès le moment de la conception, que le nouveau service qu'elle s'apprête à lancer sur le marché et qui va lui permettre de collecter des données est bien conforme à la réglementation.

Quels sont les principales mesures du RGPD ?

  1. Réalisation d'une analyse d'impact avant la mise en place d'un traitement de données
  2. Consentement clair et explicite à la collecte des données
  3. Accès facilité de la personne à ses données (Droit à l'oubli – Droit de portabilité)
  4. Notification des violations de données personnelles (« Data Breach Notification »)
  5. La création et la maintenance d'un registre des traitements devient obligatoire
  6. Création des délégués à la protection des données (DPD ou DPO, Data Protection Officer) dans certains cas : organismes publics, organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, …
  7. Transfert des données soumis à vérification
  8. Restriction du profilage automatisé servant de base à une décision
  9. Aggravation des sanctions (de 10 à 20 M€ ou de 2 à 4% du CA annuel mondial)

Quelles sont les actions à enclencher dans l'entreprise ?

Se mettre en conformité avec le RGPD suppose de définir au niveau de l'entreprise une Gouvernance
de la Data. Parmi les exemples de mesures nouvelles et déterminantes pour se prémunir contre
d'éventuelles sanctions :

  • Désigner un Délégué à la protection des données (DPD)
  • Cartographier les traitements actuels et déterminer leurs finalités ainsi que leur durée
  • Créer un registre des activités de traitement
  • Revoir les contrats de sous-traitance informatique et de gestion des données, les sous-traitants devant faire la démonstration de la conformité au RGPD de leurs solutions
  • Assurer la transparence et l'information des personnes dont les données vont faire l'objet d'un traitement (consentement clairement obtenu), les informer d'incidents de traitement
  • Notifier à la CNIL dans les 72h la survenance d'une faille ou intrusion
  • Regrouper la documentation nécessaire pour démontrer la conformité au règlement
  • Assurer en interne la mise en place d'un Référentiel Sécurité adéquat et mis à jour (Charte Utilisateurs des SI, Politique d'habilitation, Politique de gestion des incidents etc.)
  • Réaliser des études d'impact.

Qu'est-ce qu'une donnée personnelle traitée ?

Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (nom, adresse mail, n° d'identification, localisation, IP, adresse, données de santé, revenus, centres d'intérêts etc.).
Traitements de données : toutes les opérations portant sur les données personnelles informatisées ou non (collecte, utilisation, diffusion, conservation, consultation effacement etc.).

Lexique

Accountability : elle est défini par la CNIL comme « l'obligation pour les entreprises de mettre en oeuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ». l'accountability est au coeur du RGPD.
Privacy by Design : Suivant une logique de responsabilisation, chaque acteur doit désormais s'assurer de la conformité des traitements qu'il envisage de mettre en oeuvre dès le moment de leur conception. Cela implique la mise en oeuvre de mesures organisationnelles et techniques spécifiques et d'associer notamment le DPO à chaque stade de conception d'un nouveau service.

Sites web utiles

Texte du réglement

CNIL

 

Téléchargez la fiche "Règlement Général sur la Protection des Données (RGPD)"