The information is password protected. The hard drive is wrapped around the chain with the lock locked. Isolated on white background

RGPD – il devient urgent d’être conforme

C’est aussi un ensemble de droit pour les personnes :

  • Droit d’information : information au client sur les finalités du traitement, sa justification et celle des données demandées
  • Droit d’accès : information au client sur le fait qu’il est en droit d’accéder aux données et de savoir quelles sont les données détenues par le courtier
  • Droit de rectification : information au client sur le fait qu’il est en droit de demander au courtier de modifier, compléter ou mettre à jour les données le concernant
  • Droit à l’effacement : information au client sur le fait qu’il peut demander l’effacement de ses données lorsque celles-ci ne sont plus nécessaires pour le courtier ou lorsqu’il retire son consentement au traitement
  • Droit à la limitation : information au client quant au fait qu’il peut opposer au courtier un traitement limité de ses données.
  • Droit à la portabilité : information au client quant au fait qu’il peut demander au courtier de transférer ses données à un autre responsable de traitement
  • Droit d’opposition : information au client dès la première communication quant au fait qu’il peut s’opposer à tout moment au traitement de ses données. L’information l’existence de ce droit doit être présentée clairement et séparément de toute autre information.
  • Droit d’introduire une réclamation : communication au client des coordonnées d’une personne ou d’un service dédié

Définitions principales à retenir :

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Les données sensibles sont celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci.

traitement d’une donnée personnelle Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensemble de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

le responsable de traitement

C’est une personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens de traitement.

le DPO  (Data Protection Officer ou Délégué à la protection des données)

Le délégué est chargé de mettre en œuvre  la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.

Actions à prévoir

Recensement de l’existant

  • Qu’en est-il du registre de traitement? (l’ai-je fait? Si oui, est-il à jour? Si non, il faut que je le fasse)
  • Suis-je sous-traitant? Responsable de traitement?
  • Cartographie des données personnelles traitées internes et externes (données, traitements, flux, composantes par lesquelles elles circulent, et des acteurs qui les traitent),
  • Pour les données traitées en externe : s’assurer que mes actes contractuels tiennent compte des droits et obligations des parties sur la protection des données personnelles conformément au RGPD.
  • Cartographier son système d’informations,
  • Vérifier la sécurité de mes données (comment mes collaborateurs utilisent le SI ? quelles sont mes procédures de sécurité existantes)

La mise en place d’un certain nombre de chantiers :

  • Politiques et procédures (politique de protection des données –internes et externes- violation des données personnelles, durée de conservations des données…)
  • Le registre de traitements (création ou mise à jour)
  • La relation avec les tiers (responsables de traitements et/ou sous-traitants) : mise à jour des contrats
  • Droits des clients : consentement (mise en place et suivi), droits des personnes
  • Mesures de sécurité du SI
  • Documentation de la conformité
  • Formation, information et sensibilisation des collaborateurs,

Attention aux sanctions :

Lorsqu’il s’agit d’un des manquements à certaines obligations (obligation incombant au responsable de traitement ou au sous-traitant par exemple), une amende d’un montant de 2% du chiffre d’affaires mondial pour les entreprises ou 10 millions d’euros d’amende peut être appliqué

Exemples : l’absence de tenue d’un registre des traitements ou l’absence d’analyse d’impact préalable aux traitements des données personnelles.

Dans le cas d’infractions plus graves liées à la mauvaise application ou au non-respect du RGPD, une amende qui correspond à 4 % du chiffre d’affaires mondial s’agissant des entreprises ou 20 millions d’euros d’amende.

Exemple : le défaut de consentement de la personne concernée par le traitement des données personnelles d’une entreprise ou manquement aux droits des personnes

Des sanctions pénales également

L’article 84 du RGPD précise que les État Membres peuvent également mettre en place des sanctions supplémentaires en cas de violation du RGPD.

C’est le cas pour les violations qui ne font pas l’objet d’amendes administratives au sens de du RGPD.

Ces sanctions sont mentionnées dans le Code Pénal « Des atteintes aux droits de la personne résultat des fichiers ou des traitements informatiques » (articles 226-16 à 226-24).

Les sanctions pénales peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.

Exemple : en cas de détournement de la finalité des données personnelles lors d’un traitement de données.

N’hésitez pas à consulter le guide fait à votre attention et qui vous a été adressé par mail en mai dernier. Si vous souhaitez que celui-ci vous soit adressé ou réadressé, merci de nous transmettre votre demande par mail à dpo-spvie@spvie.com.