RGPD
le 03/05/2018

Règlement Général sur la Protection des Données (RGPD), entrera en vigueur le 25 mai 2018

Le Règlement Général sur la Protection des Données (RGPD) du 27 avril 2016 entrera en application le 25 mai 2018 dans tous les pays de l’Union européenne.
L’objectif est de s’adapter aux nouvelles réalités du numérique en définissant un cadre strict d’utilisation et de sécurisation des données et en harmonisant les pratiques. Cela permet aux utilisateurs de mieux gérer leurs données personnelles.

 

Qu’est-ce que le RGPD ?

Le projet de loi relatif à la protection des données personnelles, adopté par l’Assemblée Nationale, vise à adapter le droit français aux nouvelles exigences du dispositif européen. Le traitement des données de santé étant soumis à des obligations renforcées, un amendement permettant aux organismes complémentaires de santé d’échapper à ces contraintes dans le cadre de la prise en charge des prestations a été adopté. Celui-ci permet de s’aligner sur les dispositions applicables à l’assurance maladie obligatoire.
Le RGDP s’applique à toute organisation (entreprise ou sous-traitant) qui met en œuvre un traitement de données personnelles, qu’il soit automatisé ou non.
Cette règlementation reprend des principes existants dans la loi informatique et liberté : le consentement, le droit à l’oubli, la suppression des informations au-delà d’un certain temps, le choix d’un responsable des données…

En France, la loi Informatique et Libertés a défini dès 1978 les principes fondamentaux du respect de la vie privée qui font partie intégrante du RGPD. La nouveauté réside sur le fait que la réglementation en matière de données est harmonisée à l’échelle européenne.

Quels sont les grands principes du RGPD ?

  • transparence : l’utilisation des données doit être loyale, licite et transparente ;
    limitation des finalités : les objectifs poursuivis doivent être précis, explicites et légitimes ;
  • minimisation des données : les données collectées doivent se limiter au strict nécessaire ;
  • exactitude : il convient de mettre à jour les données inexactes ou de les effacer ;
    durées de conservation adaptées : ne pas conserver les données plus longtemps que nécessaire ;
  • sécurité : les données doivent être protégées contre les traitements illicites ou non autorisés.
  • traitement : un traitement ne peut être mis en œuvre que s’il est licite :
    • soit le consentement de la personne a été obtenu de manière explicite,
    • soit le traitement remplit une condition particulière – mesures (pré)contractuelles, obligation légale, sauvegarde des intérêts vitaux, intérêts légitimes.

Enfin, le RGPD offre de nouveaux droits, dont le « droit à l’oubli », le droit à la portabilité des données ou encore le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement informatisé.

Quel est le risque pour la non-conformité ?

Le recueil du consentement de l’utilisateur occupe une place centrale dans le dispositif.
Ce nouveau système, appelé consentement, est une nouvelle obligation pour tous. « On doit vous dire très clairement pourquoi est-ce qu’on collecte vos données, pour quelle finalité. On doit vous dire qui va être destinataire de ces données et qui y aura accès. Vous devez aussi savoir combien de temps on va conserver vos données. Et on doit vous dire quels sont les droits que vous avez par rapport à ces données », explique Thomas Dautieu, directeur conformité de la Cnil, la commission nationale informatique et libertés.
L’amende pour les entreprises sanctionnées par la CNIL pourra s’élever à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, contre 150 000 € d’amende aujourd’hui.

Qu’est-ce qu’une donnée personnelle ?

Appelée aussi donnée à caractère personnel, c’est une information qui permet d’identifier une personne directement ou indirectement. Par exemple son nom, une photo, une adresse IP, un numéro de téléphone, un identifiant, une adresse, un numéro de sécurité social, un mail, …

Comment cela va se mettre en place ?

Des adaptations sont à prévoir pour mettre en œuvre cette nouvelle réglementation en fonction des types de communication avec l’adhérent : les sites internet, les espaces personnels, les réseaux sociaux, les formulaires, les newsletters, les emailing, les datas de web analystics, les sites de stockage de données, …
Chez Miltis, les travaux sont en cours pour répondre aux impératifs de cette nouvelle règlementation.

article précédent retour à la liste article suivant