Vous êtes ici :

RGPD : tout savoir pour se mettre en conformité

RGPD ordinateur main

Il est aujourd’hui bien plus aisé de capter des données et de commettre des infractions en restant derrière un ordinateur qu’en faisant un cambriolage au sein d’une banque. Non seulement le risque n’est pas le même, mais le gain potentiel en est décuplé ! Parallèlement, les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) et autres tendent à connaître le plus finement possible et à s’accaparer l’identité numérique des individus. L’idée étant de faire du ciblage, créer des profils types (appelés “profilage”), les revendre à des tiers comme aux compagnies d’assurance, par exemple…

 

Pourquoi le RGPD ?

L’idée du RGPD est de lutter contre ce contexte de prédation, où des gens mal intentionnés peuvent s’introduire dans votre système d’information à des fins d’usurpation d’identité et contre ce fameux profilage des grands acteurs du Web.
Le principe est de ne pas entraver ce nouveau marché qui repose sur la dématérialisation tout en responsabilisant l’ensemble des acteurs qui collecte de la donnée. Il s’agit donc de remettre la liberté individuelle au cœur des préoccupations de nos concitoyens et de protéger les données des ressortissants européens.

 

Qui est concerné par le RGPD ?

À partir du 25 mai, toute entreprise ou association qui collecte ou héberge des données personnelles (nom, prénom…) ou sensibles (origine ethnique, opinions politiques…) de personnes résidant au sein de l’Union Européenne. Donc, à partir du moment où vous collectez ces données (ex : identité de donateurs, information sur les élèves,…), vous devez vous conformer au RGPD. Ceux qui en assurent le traitement directement comme en sous-traitance sont aussi concernés. Si vous utilisez Microsoft, Google, Salesforce ou tout autre outil permettant de collecter des données, il faut aussi vous assurer qu’il se conforme bien au RGPD.

 

Ce qui change avec le RGPD

Alors qu’auparavant le système était déclaratif, il y a aujourd’hui obligation d’établir des documents de conformité, notamment par la mise en place d’un registre permettant de cartographier les flux de données. Il faut donc maintenant organiser la traçabilité des données.
Jusqu’à présent, la CNIL (Commission Nationale Informatique et Liberté) se contentait de simples contrôles et ne pouvait appliquer que de faibles amendes ayant peu d’impacts. L’application du RGPD sera beaucoup plus intransigeante, avec un panel de sanctions beaucoup plus dissuasives que celui de la loi Informatique et Libertés si vous êtes considéré en manquement. Hier limitées à 150 000 euros puis à 3 millions d’euros en 2016, les amendes pourront désormais atteindre 10 à 20 millions d’euros ou 2 à 4% du chiffre d’affaires global mondial. Cela illustre bien la volonté des autorités de contrer les dérives actuelles sur l’utilisation de la donnée.

 

Les grands principes à respecter

Ils se résument en quatre questions : QUOI (quelle est la nature des données que je collecte et qui est le destinataire des traitements ? ), POUR QUOI FAIRE (quelle est la finalité des données ? ), COMBIEN DE TEMPS (…je conserve des données ? ) et COMMENT (quelles sont les mesures de sécurité et d’information mises en place pour assurer l’intégrité de l’ensemble de ces principes ? ).
En effet, le RGPD exige la sécurité des données sur un plan technique comme juridique : toute faille doit faire l’objet d’une notification à la CNIL dans les 72h de sa découverte. Il y a aussi obligation de s’assurer que les serveurs stockant la donnée soient bien domiciliés au sein de l’UE, ou d’en informer les personnes concernées.
Si l’on énumère les six étapes pour se conformer au RGPD, il faut donc : désigner un pilote, faire l’état des lieux et le diagnostic, gérer les risques identifiés, mettre en place les procédures et enfin constituer son dossier de conformité.
Si vous avez besoin de plus d’informations au sujet du RGPD, n’hésitez pas à contacter le Cèdre qui référence des professionnels accrédités pour vous accompagner (appartenant au marché « informatique – matériel, maintenance, logiciels, sauvegardes et courrier hybride ») et qui pourront vous conseiller sur la démarche pour vous conformer au RGPD.

 

Quelques liens utiles sur le RGPD :
Le site de la CNIL avec une vidéo sur les premières questions à se poser :
https://www.cnil.fr/fr/video-le-youtubeur-cookie-connecte-repond-vos-questions-sur-larrivee-du-rgpd
Les six étapes pour se préparer :
https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
Le texte officiel du RGPD :
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Un lien pour rester vigilant sur les solutions « clé en main » :
https://www.cnil.fr/fr/vigilance-mise-en-conformite-rgpd
Une association à connaitre pour des actions de groupe, La Quadrature du Net :
https://www.laquadrature.net/fr