Comprendre le RGPD

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) est le texte européen de référence en matière de protection des données personnelles, en application depuis le 25 mai 2018 (voir sa version complète).

Le RGPD prévoit un cadre juridique unique pour tous les professionnels, publics ou privés, sur le territoire européen. Dans la lignée de la loi informatique et des libertés de 1978, il renforce les droits de toutes les personnes physiques sur leurs données personnelles, ainsi que le contrôle des organismes qui utilisent ces données, en lien avec chaque autorité nationale (la Commission Nationale de l’Informatique et des Libertés, la CNIL, en France).

Le RGPD est complété au niveau européen par les lignes directrices du Comité Européen de la Protection des données (CEDP) et au niveau national par les lignes directives et recommandations de la CNIL. 

Quelques chiffres

DPO

  • 69 097 organismes qui ont désigné un délégué à la protection des données (DPO)

Contrôles

  • 89 179 000 € montant cumulé de l’ensemble des amandes
  • 340 contrôles ont été effectués

Plaintes

  • 16 433 plaintes
  • 4 668 notifications de violations de données

Qu’est-ce qu’un DPO ?

La fonction de Délégué à la Protection des Données (DPD ou DPO pour Data Protection Officer) a été créée par le RGPD, dans la continuité des anciens Correspondants Informatique et Libertés (CIL).
 Son rôle est de piloter la démarche de mise en conformité au RGPD de l’organisation qui l’a désigné, notamment à travers des missions de conseil, de contrôle, de communication et de documentation.

Selon la CNIL, il sera chargé entre autres :

  • Informer et conseiller l’organisme qui vous a désigné, ainsi que ses employés ;
  • Contrôler le respect du règlement et du droit national en matière de protection des données ;
  • Conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et en vérifier l’exécution ;
  • Être l’interlocuteur des personnes concernées pour les questions relatives à la protection des données personnelles ;
  • Coopérer avec la CNIL et être son point de contact.

Quels organismes doivent choisir un DPO ?

  • Les organismes publics

    Collectivités, établissements publics, syndicats, etc.

  • Les entreprises traitant d’importantes masses de données sensibles

    Données de santé, biométriques, convictions religieuses, opinions politiques, etc.

  • Les entreprises réalisant un suivi “régulier et systématique de personnes”

    Des activités de marketing fondées sur des données personnelles, par la mise en œuvre de programmes de fidélité ou de géolocalisation sur applications mobiles.

La désignation d’un DPO n’est pas obligatoire pour les autres organisations, mais est tout de même vivement conseillée par la CNIL notamment si l’organisme “rencontre des problématiques relatives à la protection des données personnelles” (voir son Guide pratique sur les délégués à la protection des données).

Un DPO externe serait-il plus adapté à ma structure ?

Lorsque l’obligation de désigner un DPO est arrivée en 2018, les organismes concernés ont souvent dû nommer une personne en urgence. Dans de nombreuses structures, notamment publiques, le délégué n’exerce cette mission qu’en complément d’un métier déjà très prenant, et n’a parfois pas la formation nécessaire pour accomplir ses missions de DPO.

Attention : au-delà de sa désignation, le RGPD impose aux organismes de fournir au DPO les ressources dont il a besoin. La CNIL précise les ressources concernées dans son guide sur les DPO : “temps nécessaire, accès à des ressources financières, collaborateurs s’il en a le besoin […] et en lui permettant d’entretenir ses connaissances spécialisées”.

Si vous identifiez des manques en interne, boscop peut proposer un accompagnement sur-mesure de votre DPO, en fonction de ses besoins spécifiques (formation, veille, assistance, réalisation d’audits…).

Contrôles, sanctions, lois… On vous explique tout !

Qu’est-ce que la CNIL et à quoi sert-elle ?

«  La Commission Nationale de l’Informatique et des Libertés (CNIL) a été créée par la loi Informatique et Libertés du 6 janvier 1978. Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. »
Source : La CNIL

Qui est concerné par les contrôles de la CNIL ?

Théoriquement, n’importe quel organisme public ou privé peut être contrôlé, et cela se vérifie d’ailleurs en pratique. Si les sanctions envers les GAFAM sont les plus médiatisées, de très nombreux acteurs de taille et d’activités diverses ont déjà été contrôlés et sanctionnés, du cabinet médical ou de la TPE aux grands groupes, en passant par les structures publiques et les ministères. Vous pouvez facilement vous rendre compte des secteurs et organismes concernés sur le site de la CNIL, où sont publiées toutes les sanctions qu’elle prononce (parfois sous forme anonymisée).

Tous les organismes n’ont toutefois pas les mêmes chances d’être contrôlés. Comme l’indique la CNIL dans son rapport d’activité 2021, les 384 contrôles réalisés pour l’année ont été orientés “en fonction des grandes problématiques identifiées, des thèmes d’actualité et des plaintes dont la CNIL est saisie”. Ainsi, un organisme aura plus de chances d’être contrôlé s’il a fait l’objet de plaintes auprès de la Commission ou si son activité rentre dans les thématiques prioritaires de contrôle déterminées chaque année par l’autorité. En 2022 par exemple, l’utilisation du Cloud, la prospection commerciale et la surveillance dans le cadre du télétravail étaient choisies par la CNIL.

Comment éviter les sanctions de la CNIL ?

Pour éviter les sanctions de la CNIL, une seule solution : se mettre en conformité vis-à-vis de la réglementation sur les données personnelles, et le rester dans la durée.

  1. Par où débuter ?

    Réaliser un état des lieu de votre conformité au RGPD

    Commencez par identifiez les écarts vis-à-vis de la réglementation, à cartographier vos traitements et identifier les zones de risques. Cet état des lieux devrait vous permettre d’y voir plus clair et de définir la feuille de route de votre conformité.

  2. Et ensuite ?

    Structurez votre gouvernance RGPD

    Désignez votre DPO interne ou externe, ou le pilote du projet de conformité. Identifier un relais dans chaque service permettra également de faciliter la prise en compte du RGPD pour les métiers. Le support de la direction est également fondamental pour un projet réussi.

  3. Mais encore ?

    Priorisez

    Selon les traitements mis en œuvre et les écarts constatés, vous prioriserez les actions sur deux champs : la conformité transverse de l’organisme (politiques et procédures) et la conformité traitement par traitement (audits, analyses d’impact, etc.).

Peut-on être labellisé ou certifié conforme au RGPD ? Qu’est-ce que ça m’apporte ?

Un mécanisme de certification sur la conformité au RGPD présenterait un intérêt fort pour les organismes en valorisant leur travail de mise en conformité. Il serait également utile à tous les clients/usagers en leur permettant « d’évaluer rapidement le niveau de protection des données offert par les produits et services » (considérant 100 du RGPD). Depuis 2018, seuls deux ont été mis en place en France par la CNIL :

La certification des prestataires de formation à la protection des données,
La certification des compétences du DPO, qui permet d’identifier les compétences et savoir-faire du DPO.

La CNIL a également annoncé lancer un programme de certification des sous-traitants.

Le RGPD évoque, en complément des certifications, des mécanismes « de labels et de marques » (article 42). Les anciens labels de la CNIL sont devenus caduques avec l’entrée en application du RGPD, mais les initiatives individuelles sont encouragées sur le sujet, comme c’est déjà le cas de la part de certains cabinets privés. On peut également penser à l’initiative de l’agence RSE Lucie, dont le label numérique responsable intègre notamment la protection des données personnelles.

En l’absence d’un système de labellisation reconnu sur le RGPD, Boscop a souhaité mettre en place un système déclaratif, sur le modèle des déclarations d’accessibilité. Concrètement, nous pouvons vous fournir une déclaration de conformité à intégrer à votre politique de confidentialité, selon le résultat de l’audit de conformité de votre site.

Pourquoi former mes équipes au RGPD ?

C’est obligatoire !

Sans bénéficier d’un article propre dans le RGPD, cette obligation ressort de l’article 39 sur les missions du DPO, lequel contrôle “la sensibilisation et la formation du personnel participant aux opérations de traitement”. Cette obligation ressort également de la doctrine et de la jurisprudence de la CNIL. Ainsi, dans son Guide de la sécurité des données personnelles, la commission consacre sa première fiche à la “sensibilisation des utilisateurs travaillant avec des données personnelles”.

Diminuer les risques de violation des données

La formation et la sensibilisation des salariés ou des agents devrait être au cœur de votre projet, puisque vous aurez en outre besoin de l’implication de chacun, selon ses responsabilités, dans le cadre de votre conformité au RGPD.

Boscop propose dans ce cadre des sensibilisations et formations à destination de vos équipes. La CNIL propose également un MOOC pour connaître les bases de la réglementation.

Nos derniers articles

  • Orejime version 3 : plus éco-conçu et optimisé !

    • Cookies RGPD
    • Numérique responsable
    Orejime, notre gestionnaire de cookies libre accessible et respectueux du RGPD passe en version 3 ! Découvrez notre nouveau site ainsi que notre nouvelle offre d’accompagnement pour répondre à vos besoins de support lors de l’installation. Un gestionnaire de cookies accessible, […]

  • IA Act : La légalisation européenne sur l’intelligence artificielle

    • RGPD
    Bien qu’étant une discipline scientifique depuis bientôt 70 ans, l’intelligence artificielle est devenue seulement récemment une notion connue publiquement, notamment avec la commercialisation des premiers modèles d’intelligence artificielle générative grand public (Chat GPT en 2022, Google Gemini en 2023…).