RGPD, qu’est-ce que c’est ?

Il s’agit du texte de référence européen en matière de protection des données personnelles pour les résidents de l’Union Européenne. Son objectif est l’harmonisation de la gestion des données dans l’ensemble des pays de l’Union Européenne, et est applicable le 25 mai 2018.

Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable.

Une donnée est donc à caractère personnel dès lors qu’elle permet d’identifier ou de rendre identifiable une personne physique, directement ou indirectement, par exemple par référence à un identifiant (adresse IP, numéro de sécurité sociale, numéro d’adhérent, identifiant professionnel…) ou à un ou plusieurs éléments qui lui sont propres ou qui, combinés, peuvent être rattachés à une personne physique (numéro de téléphone, numéro de plaque d’immatriculation, numéro de série d’un véhicule…)

Le RGPD concerne tous les acteurs économiques et sociaux proposant des biens et des services sur le marché européen dès lors que leur activité traite des données personnelles sur les résidents de l’Union européenne.

Sont donc concernées :

• les entreprises
• les associations
• les services publics
• les entreprises dont le siège est hors Union Européenne mais opérant sur de la donnée de citoyens de l’Union Européenne
• les sous-traitants dont les activités rentrent dans ce cadre

L’objectif est de donner aux citoyens de l’Union européenne davantage de contrôle et de visibilité sur leurs données personnelles.

• quelles sont les données collectées ?
• à quelles fins ?
• quelles sont les durées de conservation ?

Le principal enjeu pour les entreprises est donc de savoir où et comment sont traitées les données et comment pouvoir, sur simple demande, les collecter et les transmettre à la personne concernée.

Cela suppose donc qu’une entreprise doit à tout moment savoir de quelles données elle dispose, leur localisation, l’objectif de leur collecte et aussi leur mode de gestion, de stockage et d’effacement de ces données.

Le RGPD introduit une fonction de Responsable de Traitement (RT), en général incarnée par le représentant de la personne morale ou par une personne désignée par ses soins. C’est à ce responsable qu’il appartient de mettre en oeuvre toutes les mesures appropriées pour démontrer que le ou les traitements dont il a la responsabilité sont effectués en conformité avec le RGPD.

Le RGPD prévoit également la possibilité de désigner un Data Protection Officer (DPO), ou Délégué à la Protection des Données. Ce n’est pas une obligation pour toutes les entreprises.

La personne peut demander les informations concernant le traitement de ses données à caractère personnel ainsi qu’une copie de ses données personnelles. Exemple : un client qui veut savoir quelles sont les données détenues sur lui…

• Prendre les mesures raisonnables pour vérifier l’identité de la personne qui demande l’accès à des données personnelles
• Confirmer à la personne s’il traite ou non les données la concernant
• Fournir une copie des données faisant l’objet d’un traitement
• Si la demande est présentée par voie électronique, fournir les informations sous forme sécurisée (sauf demande contraire de la personne)

La personne peut demander la rectification ou la mise à jour de ses données personnelles

• Il doit alors compléter ou rectifier les données inexactes dans les meilleurs délais

La personne peut exiger l’effacement de sos données à caractère personnel dans la limite de ce qui est permis par la réglementation. Cette dernière prévoit notamment, que ce droit ne s’applique que lorsque les données concernées ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou au respect d’une obligation légale ou ne permettent plus la constatation, l’exercice ou la défense de droits en justice. 

• Vérifier que les données ne sont plus nécessaires (par exemple pour le recouvrement d’une facture impayée)
• Effacer les données dans les meilleurs délais ou justifier auprès de la personne que ses données seront conservées
• Lorsque les données ont été rendues publiques, prendre les mesures raisonnables pour informer les autres responsables qui traitent ces données que la personne en a demandé l’effacement
• Indiquer au destinataire auquel ces données ont été communiquées la demande d’effacement formulée par la personne concernée (sauf impossibilité ou efforts disproportionnés)

La personne peut demander la limitation du traitement de ses données à caractère personnel dans les conditions prévues par la réglementation applicable en matière de protection des données à caractère personnel des personnes physiques.

• Limiter le traitement si l’une de ces conditions est présente
• Ne plus traiter les données personnelles concernées sauf avec le consentement de la personne concernée ou pour la constatation, l’exercice ou la défense de droits en justice, ou pour la protestation des droits d’une autre personne, ou pour des motifs importants d’intérêt public.
• Informer la personne en cas de levée de la limitation du traitement (une fois l’exactitude des données vérifiée par exemple)
• Notifier au destinataire auquel les données ont été communiquées la limitation du traitement (sauf impossibilité ou effort disproportionné)

La personne peut demander que ses données à caractère personnel, recueillies avec son consentement, soient transmises directement à un autre responsable de traitement si cela est possible techniquement.

• Il doit lui remettre les données recueillies dans un format structuré, couramment utilisé et lisible par une machine

La personne qui a donné son consentement au traitement de ses données à caractère personnel, dispose du droit de retirer son consentement à tout moment.

• Au plus tard lors de la première communication, il doit explicitement informer la personne de son droit d’opposition, en présentant cette information de manière claire et séparée de toute autre information
• En matière de prospection, la personne concernée a un droit discrétionnaire de s’opposer au traitement de ses données, sans que le Responsable de Traitement ne puisse refuser. Celui-ci ne peut alors plus utiliser ou conserver les données à des fins de prospection.

• EUR-Lex – RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
• CNIL – Loi 78-17 du 6 janvier 1978 modifiée
• CNIL – Se préparer au règlement européen

Avec notre partenaire l’IFCM, nous avons construit un tutoriel sur le RGPD pour vous accompagner dans la mise en œuvre de ces nouvelles obligations réglementaires.

RGPD IFCM Alto informatique PDF

Le 25 mai, nous vous avons livré une mise à jour de nos solutions AltOffice et Cifacil contenant de nouvelles fonctionnalités pour vous permettre de répondre aux exigences du RGPD.

Découvrez-les dans nos Fiches Pratiques !

Fiches pratiques RGPD Cifacil PDF

Fiches pratiques RGPD AltOffice PDF

La protection et le respect de vos données personnelles ont toujours été l’une de nos priorités.

Nous vous invitons à consulter nos engagements présentés dans notre Notice de Protection des Données {lien vers la Notice – Cf fichier joint}.