Quelques précisions à propos du Règlement général sur la protection des données


Le Règlement général sur la protection des données (RGPD) sera applicable dès juin prochain en Polynésie française. Dès lors, toutes les personnes physiques ou morales traitant des données à caractère personnel devront avoir au moins engagé la transformation de leur processus de traitement des données personnelles dans une perspective de mise en conformité. (Image : source CNIL).
PAPEETE, 8 mars 2019 - L’après-midi d’information consacrée au Règlement général sur la protection des données a bénéficié d’une forte affluence, jeudi, dans un amphithéâtre de la CCISM bondé, avec plus d’une centaine d’auditeurs.

Ce nouveau cadre juridique sera applicable en Polynésie française dès juin prochain et exige, pour les entités concernées, une transformation de fond du mode de gestion, d'archivage et d'utilisation des données à caractère personnel.
 
Le RGPD (Règlement général sur la protection des données) est le nouveau cadre juridique européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces informations. Il concerne tous les établissements installés sur le territoire de l’UE et dépositaires de données personnelles (numériques ou non) concernant leurs usagers ou clients. Il s’impose également aux établissements, entreprises ou personnes physiques qui proposent des biens ou des services, même gratuits, à une personne qui se trouve sur le territoire de l’Union européenne. Sont donc concernées par le RGPD toutes les personnes physique ou morale traitant des données à caractère personnel, si elles opèrent depuis le territoire de l’Union ou pour le compte d’une personne résidant sur cet espace géopolitique.

Une donnée personnelle est une information, quelle que soit sa forme (écrite, numérique, photographique, sonore, etc.) qui permet, seule ou par combinaison avec d’autres informations, d’identifier quelqu’un : données d’identification, état civil, coordonnées, situation familiale, habitudes de vie, parcours scolaire et professionnel, données de connexion ou de localisation, données de santé ou biométriques, etc.

Ce nouveau cadre juridique est en vigueur dans les 28 pays de l’espace européen depuis le 25 mai 2018. Son application a notamment été élargie à la collectivité de Polynésie française par une ordonnance de décembre 2018 (n°2018-1125), publiée au JOPF le 21, qui fixe son entrée en vigueur au fenua le 1er juin 2019 au plus tard.

Conséquence : à partir de cette date, quiconque conserve (sauf à usage strictement domestique) des documents et dossiers, papiers ou numériques, recélant des données sur sa clientèle, son personnel, ses usagers, etc., sera concerné par le RGPD et devra prendre les mesures appropriées pour s'y conformer. Ce nouveau cadre juridique impose une révision et une mise en conformité des toutes les procédures de collecte et de traitement des données.

​Des sanctions dissuasives

Une après-midi d’information a été organisée jeudi 7 mars dans l’amphithéâtre de la CCISM, à Papeete, à l’initiative de la Direction générale de l’économie numérique (DGEN), de l’OPEN, l’Organisation des professionnels de l’économie numérique et de l'association professionnelle CluSIR Tahiti, le Club de la sécurité de l'information région. L’entrée était libre. Plus d’une centaine d’auditeurs l’a suivie.

De 14 heures à 18 heures, 10 intervenants se sont succédé pour apporter leur éclairage sur cette nouvelle législation et présenter aux auditeurs les transformations qu’elle implique dans la vie de l’entreprise et les solutions qui existent pour s’y conformer.

Dorénavant, le traitement de données personnelles ne pourra être mis en œuvre que s’il se fonde sur le consentement de la personne concernée, l’exécution d’un contrat, le respect d’une obligation légale ou réglementaire, ou l’exécution d’une mission d’intérêt public.

Le traitement de ces données personnelles devra répondre à un but déterminé, ne contenir que les données nécessaires à cette finalité, s’appuyer sur des données exactes et mises à jour. Surtout, la gestion de ces données devra se faire dans un cadre sécurisé. Les informations en cause ne pouvant être archivées plus longtemps que nécessaire. De son côté, l’usager pourra annuler son consentement à tout moment ou demander la restitution et la suppression de l’ensemble des données le concernant, dans le cadre du droit à l’oubli.

Les entreprises ou organismes amenés à traiter des données personnelles devront obligatoirement fournir un aperçu complet de leur politique de confidentialité et de leur processus de traitement des données, en conformité avec le RGPD. Il s’agit d’un principe de transparence et de conformité imposé par la loi.

En Polynésie française, les entreprises qui seront reconnues en contravention avec le RGPD au-delà du 1er juin prochain sont susceptibles d’une condamnation à des pénalités financières élevées en fonction de la gravité de l'infraction. Les amendes pourront atteindre jusqu’à 2,4 milliards Fcfp (20 millions d’euros) ou 4% du chiffre d’affaires global. La Commission nationale de l’informatique et des libertés (CNIL) pourra être saisie sur la base d’une plainte ou d’un signalement. Il importe en conséquence, pour toutes les entités visées par la loi, d’avoir au moins engagé la transformation de leur processus de traitement des données personnelles dans une perspective de mise en phase avec les exigences du RGPD.

​Le DPO au cœur de la mise en conformité

La mise en œuvre des exigences du RGPD impose, quelle que soit la taille de la structure concernée, la désignation d’une personne dédiée à la mission de gestion des données personnelles. En poste dans l’entreprise ou prestataire de service, ce dernier accomplit une mission d’information, de conseil et de contrôle en interne : c’est le délégué à la protection des données (DPO).

Garant de la conformité en matière de protection des données au sein de son organisme, le délégué à la protection des données est principalement chargé : d’informer et de conseiller le responsable de traitement, c’est-à-dire souvent le chef d’entreprise, ou le sous-traitant, ainsi que leurs employés ; de contrôler le respect du règlement et du droit national en matière de protection des données ; de conseiller l’organisme sur la réalisation d’études d'impact sur la protection des données et d’en vérifier l’exécution ; de coopérer avec l’autorité de contrôle (la CNIL) et d’être le point de contact de celle-ci.

Pour accompagner l’organisme dans la mise en place des nouvelles obligations imposées par le RGPD, le DPO est en charge de la réalisation de l’inventaire des traitements de données, conçoit des actions de sensibilisation et pilote la conformité en continu.
En somme, il doit être regardé comme un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.

Liens utiles

>> RGPD : par où commencer ?
Les quatre actions principales recommandées par la CNIL pour entamer votre mise en conformité aux règles de protection des données. Ces actions doivent perdurer dans le temps pour être efficaces.

>> Outil PIA : téléchargez et installez le logiciel de la CNIL
Le logiciel open source PIA facilite la conduite et la formalisation d’analyses d’impact relatives à la protection des données (AIPD) telles que prévues par le RGPD.

>> Traitement des données : Un modèle de registre simple et didactique pour les TPE/PME
Dans la continuité du guide pratique pour les TPE/PME élaboré avec bpifrance, la CNIL propose au téléchargement un nouveau modèle de registre des activités de traitement, destiné à faciliter sa prise en main et sa tenue.


Rédigé par Jean-Pierre Viatge le Vendredi 8 Mars 2019 à 14:04 | Lu 5702 fois