Vers la version anglaise du site de NGI Group
Actualités
News du 24 avr. 2018 11:53

Les grandes lignes du RGPD (Règlement Général sur la Protection des Données)

Applicable à partir du 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) vise à harmoniser au niveau européen le cadre juridique en matière de protection des données. Nous vous proposons de revenir sur les principales mesures et leurs impacts sur les entreprises.

Le RGPD (Règlement Général sur la Protection des Données) est un texte de loi européen adopté en avril 2016 qui porte sur la protection des données à caractère personnel. Il vise à renforcer les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, afin de donner aux citoyens plus de maitrise sur leurs données. Cette législation européenne apparaissait nécessaire avec l’explosion du numérique et la mise en place de nouveaux modèles économiques. Cette nouvelle loi harmonise surtout le cadre juridique européen en matière de protection des données personnelles, afin d’avoir un seul cadre juridique qui s’applique à l’ensemble des états membres. Selon la dernière étude BVA (spécialiste de l’analyse comportementale) datant d’octobre dernier, seuls 25% des Français estiment que la confidentialité de leurs données est correctement assurée sur internet, et 70% sont inquiets concernant la sécurité de leurs données.

Ce nouveau texte de loi sera applicable à partir du 25 mai 2018 à toutes les entités implantées dans un pays européen dès lors qu’elles traitent des données privées ou sensibles de manière informatisée ou manuelle. Il exige des mesures qui s’articulent principalement autour de 4 principes : le consentement, les nouveaux droits des personnes, la transparence et la responsabilité. 

  • Le consentement : les personnes doivent sans aucune ambiguïté affirmer leur accord pour toute collecte de leurs données : elle doit être licite et loyale. Les personnes doivent comprendre par qui, pour quoi, jusqu’à quand, seront enregistrées leurs données. Elles doivent aussi pouvoir effacer les données récoltées, ou simplement refuser l’exploitation de ces données. 
  • Les nouveaux droits des personnes : notamment le droit à la portabilité des données qui donne le droit à une personne de récupérer les données qu’elle a fournies ou les transférer à un tiers et le droit à l’oubli pour tous les utilisateurs. Les entreprises disposeront désormais d’un délai réduit d’un mois, et non plus de deux mois, pour supprimer les données à la suite d’une demande. 
  • La transparence : les entreprises devront fournir aux individus des informations claires et sans ambiguïté sur la manière dont leurs données seront traitées. 
  • La responsabilité : le principe consiste à responsabiliser davantage les entreprises dans leur traitement de données à caractère personnel, notamment dans la documentation des mesures et procédures en matière de sécurité. 

Quel impact pour le client ?

Le RGPD vise à rassurer le client en matière de données personnelles. Dans le cas, où une entreprise récolte des données personnelles relatives au client, ce dernier doit au préalable donner un consentement écrit, clair et explicite avant tout traitement. Le RGPD impose également le droit à l’oubli afin de pouvoir effacer les données personnelles en cas d’atteinte à la vie privée, le droit à la portabilité des données, et le droit d’être informé en cas de piratage des données. En bref, le RGPD est mis en place afin de maximiser la sécurité des données personnelles des clients et assurer la transparence de leurs traitements. 

Et pour l’entreprise ? 

Dès lors qu’une entreprise traite les données personnelles, elle doit se mettre en conformité avec cette nouvelle loi avant le 25 mai 2018. Concrètement, elle doit :

1. Tenir une documentation interne complète sur les traitements de données personnelles et s’assurer que ces derniers respectent les nouvelles obligations. Il sera nécessaire de recenser dans cette documentation :

  • Les différents traitements de données personnelles
  • Les catégories de données personnelles traitées
  • Les lieux et durées de stockage pour chaque catégorie de données
  • Les objectifs poursuivis par les opérations de traitement des données
  • Les acteurs (internes ou externes, notamment sous-traitants) qui traitent ces données
  • Les flux de données, afin d’identifier les éventuels transferts de données hors de l’Union européenne

2. Mener des actions afin de se conformer aux nouvelles obligations règlementaires sur la base du registre des données personnelles mis en place :

  • S’assurer que seules les données strictement nécessaires sont collectées et traitées
  • Identifier le fondement juridique des traitements de données effectués (contrat, obligation légale, consentement de la personne, etc.) 
  • Mettre à jour les mentions d’information, clauses de confidentialité, conditions générales… afin qu’elles soient conformes aux exigences du RGPD 
  • Prévoir les modalités d’exercice des nouveaux droits des personnes concernées (droit d’accès, de rectification, retrait du consentement, droit à la portabilité) 
  • Vérifier que les sous-traitants éventuels connaissent leurs nouvelles obligations et responsabilités et s’assurer de l’existence des clauses contractuelles rappelant leurs obligations en matière de sécurité ainsi que de confidentialité et de protection des données personnelles traitées.
  • Vérifier la mise en place de mesures de sécurité adaptées

3. Pouvoir démontrer aux autorités de contrôle (CNIL) la responsabilité notamment sur :

  • La prise en compte de la protection des données personnelles, de sa collecte à son traitement (collecte de données limitée au strict nécessaire, durée de conservation, cookies, mentions d’information, recueil du consentement, sécurité et confidentialité des données, etc.)
  • L’obligation de documenter systématiquement l’ensemble des procédures et traitements mis en œuvre 
  • L’obligation d’anticiper les violations de données en prévoyant la notification aux personnes concernées dans les meilleurs délais (et dans certains cas, à l’autorité de protection sous 72 heures)
  • La désignation obligatoire dans certains cas (banque, santé) d’un délégué à la protection des données (DPD), qui exerce une mission d’information, de conseil et de contrôle en interne.
  • La nécessité de réaliser une étude préalable d’impact sur la protection des données (PIA), dans le cas des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées.

Pour conclure, en cas de violations du règlement l’amende administrative peut atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel. Le RGPD ne doit pas être une contrainte pour une entreprise mais plutôt un renforcement des responsabilités en assurant une protection optimale, et permanente des données personnelles. 

NGI et la RGPD

Depuis toujours, NGI met tout en oeuvre pour garantir la sécurité et la confidentialité des données personnelles que gèrent ses clients ainsi que leur traitement. En tant qu'éditeur de logiciels s'intégrant dans le système d'information des centres et services d'imagerie, nous nous préparons depuis de longs mois pour que nos solutions intègrent les nouvelles exigences du Règlement Européen et protègent les droits des personnes concernées. Ainsi, dès leur conception, nos outils se doivent d'intégrer les principes relatifs à la protection des données, pour, par exemple ne collecter que les données strictement nécessaires à la finalité du traitement. En tant qu'intégrateur et prestataire de services, nous sommes également tenus de garantir la sécurité des données traitées. A ce titre, nos employés sont soumis à une obligation de confidentialité.

NGI a choisi de se faire accompagner par le Cabinet Lexing Alain Bensoussan Avocats, conseil de référence dans le domaine, afin de garantir le respect des nouvelles exigences issues du RGPD, tant en sa qualité de responsable de traitement que de sous-traitant.

Afin d'informer de manière détaillée et d'accompagner ses clients dans la mise en oeuvre de cette nouvelle règlementation, ce thème sera également au programme de la prochaine réunion du Club Utilisateurs le 21 juin prochain. Plus d'information : Réunion Club Utilisateurs