Le RGPD, c’est quoi ?

RGPD ?

Le Règlement Général sur la Protection des Données est appliqué depuis le 25 mai 2018. Il concerne le traitement et la circulation des données à caractère personnel et couvre l’ensemble des résidents de l’Union Européenne.

Avec l’explosion du numérique, l’apparition de nouveaux usages et la mise en place de nouveaux modèles économiques, il harmonise les lois européennes sur la protection des données personnelles. Il concerne toutes les entreprises, quelle que soit leur nationalité ou leur domaine d’activité, du moment qu’elles collectent des données sur des citoyens européens.

[Est caractérisée comme donnée personnelle toute information permettant d’identifier directement ou indirectement une personne physique (nom, numéro de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…).]

Le RGPD et l’internaute

Du point de vue de l’internaute, un certain nombre de protections sont mises en place. Par exemple, les entreprises doivent récolter au préalable un consentement écrit, clair et explicite de l’internaute avant tout traitement de données personnelles. Il inclut aussi une reconnaissance :

  • d’un droit à l’oubli pour obtenir le retrait ou l’effacement de données personnelles en cas d’atteinte à la vie privée ;
  • d’un droit à la portabilité des données pour pouvoir passer d’un réseau social à un autre ;
  • du droit d’être informé en cas de piratage des données.

Le RGPD au sein des entreprises

Toute entité manipulant des données personnelles concernant des Européens doit se conformer. Peu importe qu’il s’agisse d’une entreprise, d’un sous-traitant ou d’une association.

Le DPO (Data Protection Officier) est la personne chargée de la protection des données au sein d’une organisation. On l’appelle aussi délégué à la protection des données.

Le responsable de traitement des données, lui, détermine les finalités et les moyens du traitement des données à caractère personnel. Ainsi, l’entreprise décide de la manière dont seront traitées les données à caractère personnel. Elle est la responsable du traitement.

  • Registre des activités

Ce document d’analyse permet de recenser les traitements de données.  Il sert à avoir une vue d’ensemble sur ce qui est fait des données personnelles.

Ce registre doit refléter la réalité des traitements de données personnelles. Il permet d’identifier précisément les parties prenantes, les catégories de données traitées, à quoi servent ces données, qui accède, à qui elles sont communiquées, combien de temps elles sont conservées et comment elles sont sécurisées.

L’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés, et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Il existe des obligations spécifiques pour le registre du responsable de traitement de données personnelles et pour le registre du sous-traitant. Si l’organisme agit à la fois en tant que sous-traitant et responsable de traitement, le registre doit clairement distinguer les deux catégories d’activités.

  • Sous-traitance

Le sous-traitant traite des données à caractère personnel pour le compte d’une autre entité, et du responsable du traitement.

rgpd-co-traitance

Le RGPD a introduit la notion de « co-traitance ». Auparavant, en cas de problème, le responsable de traitement pouvait se défausser sur son sous-traitant. Désormais, la responsabilité est partagée sur la base de ce que chacun va traiter. L’entreprise devra vérifier que ses fournisseurs ont bien mis en place le RGPD et recueilli le consentement des clients.

Sauf exceptions, le registre des activités de traitement ne s’applique pas à une organisation ou entreprise de moins de 250 employés. Au-delà de ce seuil, chaque sous-traitant doit tenir un registre. Il recense toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement.

Les outils

  • La GED

La Gestion Electronique des Documents s’intéresse donc aux documents et aux données associées. Elle permet d’optimiser leur gestion et leur exploitation par des moyens électroniques spécialisés et performants.

C’est un procédé faisant intervenir des moyens électroniques, typiquement des logiciels et/ou des matériels. Il prend en charge la gestion des documents, à savoir les opérations et actions destinées à traiter et à exploiter les documents. Par exemple, la capture, l’acquisition, la numérisation, la validation, la diffusion, le classement, l’indexation, l’archivage, etc.

Les automatismes rendent plus fiables les documents, leur gestion, leur accès, leur exploitation. Ils permettent aux utilisateurs de se consacrer davantage aux tâches à valeur ajoutée en réduisant considérablement les risques d’oubli et d’erreur.

  • La signature électronique

La signature électronique est un mécanisme qui permet de garantir l’intégrité d’un document électronique. Il en authentifie l’auteur, par analogie avec la signature manuscrite d’un document papier. Elle se différencie de la signature écrite par le fait qu’elle n’est pas visuelle mais elle correspond à une suite de caractères.