Comprendre le GDPR / RGPD avec des emojis

Si vous travailliez dans l’informatique, vous avez déjà peut être entendu parler du GDPR (ou RGPD en français)

Vous devez savoir savoir qu’il s’agit du texte de référence européen en matière de protection des données personnelles pour les résidents de l’Union européenne.

Mais concrètement :

  • Qu’est ce que c’est?  
  • Quels vont être les impacts?
  • Qui sont les acteurs concernés?

Pour le savoir…

  • Soit, vous vous tapez tout le texte du règlement (disponible sur le site de la CNIL),
  • Soit, vous regardez cette vidéo où je vous fais une synthèse, le tout en quelques minutes et en emoji!

GDPR/RGPD, c’est quoi ?

GDPR veut dire General Data Protection Regulation ou RGPD pour Règlement général sur la protection des données.

Plus concrètement :

  • Il s’agit du texte de référence européen en matière de protection des données personnelles pour les résidents de l’Union européenne. 
  • En gros, le GDPR va harmoniser la gestion des données dans l’ensemble des pays de l’Union Européenne.
  • Et Il sera applicable à partir du 25 mai 2018. Bref, demain quoi!
Qui sont concernés par le GDPR ?

Le GDPR concerne tous les acteurs économiques et sociaux proposant des biens et services sur le marché de l’UE, dès lors que leur activités traitent des données à caractère personnel sur les résidents de l’UE :

  • Les entreprises,
  • Les associations,
  • Les organismes publics,
  • Les entreprises dont le siège est hors UE mais opérant dans l’UE Et sur des données des citoyens de l’UE
  • et les sous-traitants dont les activités rentrent dans ce cadre

Pour la suite je vais juste parler d’entreprise pour simplifier mais faut le comprendre comme englobant tous ces différents acteurs

Les objectifs et les enjeux

L’objectif est de donner aux citoyens de l’UE davantage de contrôle et de visibilité sur leurs données privées, notamment pour savoir quelles sont les données collectées, à quelle fin, et leur durée de conservation.

Le principal enjeu pour les entreprises est donc  de savoir à un instant t où sont les données et comment pouvoir, sur simple demande, les collecter et les transmettre à la personne concernée

Cela suppose qu’une entreprise doit à tout moment savoir de quelles données elle dispose, leur localisation, l’objectif de leur collecte et leur mode de gestion, de stockage, de transfert et d’effacement.

 

Sanctions prévus en cas de non conformité au GDPR

Celles-ci peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros.  La somme la plus importante entre les 2 est retenue.

Et c’est également l’entreprise qui devra payer les Dommages et intérêts pour préjudice subi pour non respect du GDPR suite à un recours en justice au pénal

 

Les 5 principes clés du GDPR / RGPD

Voici les nouveaux principes à mettre en oeuvre dans le cadre du GDPR pour assurer une meilleure protection des données personnelles :

  • le concept d’accountability ;
  • la démarche de « Privacy by design »
  • la démarche de « Security by default »
  • la désignation d’un Data Protection Officer (DPO)
  • l’étude d’impact

 

La logique de responsabilisation ou « accountability »

Le GDPR introduit une logique de responsabilisation, c’est l’”Accountability”. C’est à dire que d’une part c’est à l’entreprise de prendre toutes les mesures pour garantir la conformité au GDPR.

Mais cela implique aussi que l’entreprise doit être capable de démontrer qu’elle a rempli ses obligations en matière de protection des données, ce qui sera notamment le cas lors de contrôle de la CNIL par exemple.

Cela peut aller de la tenue de la documentation, à la mise en œuvre des obligations en matière de sécurité en passant par la réalisation d’une étude d’impact.

 

Le respect de la protection des données dès la conception ou « Privacy by design »

« Privacy by Design » signifie que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service mais aussi d’un système d’information, d’une base de données ou d’une application.

 

La sécurité par défaut ou « Security by default »

Ce principe renforce le rôle de sécurité dans le système d’information et notamment dans son traitement des données,

En effet le SI doit être sécurisé a ses différents niveau, du physiques jusqu’au logique (contrôle d’accès ou un système dde prévention contre les failles de sécurité, etc.).

Mais l’entreprise doit être aussi d’être en mesure de déceler si l’intégrité du SI a été compromise et y remédier

 

La désignation obligatoire d’un Data Protection Officer (DPO)

Il s’agit d’un délégué à la protection des données quidoit être associé aux questions de protection des données à caractère personnel. Son rôle est de veiller à la conformité au GDPR et d’être le point de contact avec l’autorité de contrôle.

 

L’ étude d’impact

Le GDPR demande aux entreprise de réaliser une étude d’impact sur la protection des données personnelles avant à la mise en œuvre des nouveaux traitements de données qui pourraient présenter des risques d’atteintes aux droits et libertés individuelles.

Le cas échéant, l’étude d’impact devra aussi prévoir les mesures pour diminuer l’impact des dommages potentiels à la protection des données personnelles.

 

J’espère que cette post vous a plu et vous a aidé

N’hésitez pas à partager ce post ou ma vidéo, ça m’aiderait mais tellement!

Dis moi ce que vous en avez pense dans les commentaires!

 

Pour finir, sachez que la CNIL a publié un guide pratique et simple pour se préparer à une mise en conformité en six étapes (si vous souhaitez approfondir le sujet.

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *