Le RGPD

Le 25 mai 2018  a vu l’entrée en vigueur du plus important texte législatif européen sur la protection des données des 20 dernières années. Le EU General Data Protection Regulation (RGPD) remplace la 1995 EU Data Protection Directive.

Le RGPD renforce les droits des individus en ce qui concerne leurs données personnelles et vise à consolider les lois sur la protection des données à l'échelle de l'Europe, indépendamment du lieu de traitement.

SKALE-5 s'est  conformé aux exigences du RGPD pour tous ses services . Nous œuvrons également à soutenir nos clients dans leurs efforts de conformité au RGPD en leur fournissant les protections robustes en matière de sécurité et de confidentialité que nous avons intégrées à nos services et à nos contrats.

Avant tout : Quelques rappels sur ce qu’est le RGPD

Le RGPD, qu’est ce que c’est ?

Le Règlement Général de Protection des Données est un texte réglementaire européen développé pour encadrer le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne. Il a pour visée de permettre aux entreprises européennes de développer leurs activités numériques dans un contexte juridique égalitaire et compétitif. Du fait qu’il est un règlement, le RGPD ne nécessite aucune transposition juridique dans les Etats membres, il devra donc être appliqué de la même manière sur tout le territoire européen.

Le RGPD s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 établissant des règles sur la collecte et l’utilisation des données sur le territoire français. Il a été conçu autour de 3 objectifs :

  1. Renforcer les droits des personnes
  2. Responsabiliser les acteurs traitant des données
  3. Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données

Qu’est ce qui relève des données personnelles  ?

Qu’est-ce qui relève des données personnelles ?
Une donnée personnelle est décrite par la CNIL comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Il existe 2 types d’identifications :

  • Identification directe (nom, prénom etc.) ;
  • Identification indirecte (identifiant, numéro etc.).

Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, on considère qu’il s’agit de traitement de données. La CNIL donne les actions suivantes à titre d’exemple du traitement des données :

  • Tenue d’un fichier de ses clients ;
  • Collecte de coordonnées de prospects via un questionnaire ;
  • Mise à jour d’un fichier de fournisseurs.

Les acteurs et les rôles de chacun dans le RGPD

Le RGPD identifie formellement 3 acteurs :

  1. Le Responsable de Traitement
  2. Le Sous-Traitant
  3. La Personne concernée

Lorsqu’une entreprise participe à un traitement, elle devra définir le rôle qu’elle va jouer dans ce traitement. Cette détermination du rôle dans le traitement est essentielle car elle conditionne l’ensemble du régime de responsabilité et les obligations qui pèsent sur l’entreprise.

rgpdrole

Cartographier nos traitements de données personnelles

Dans le cadre de notre plan d'action pour se mettre en conformité au règlement européen sur la protection des données (RGPD), SKALE-5 tient une documentation interne  sur nos traitements de données personnelles pour s’assurer qu'ils respectent bien les nouvelles obligations légales.

Le Registre des données personnelles doit recenser précisément :

  • Les différents traitements de données personnelles
  • Les catégories de données personnelles traitées
  • Les objectifs poursuivis par les opérations de traitements de données
  • Les acteurs (internes ou externes) qui traitent ces données
  • Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l'Union européenne

Pour chaque traitement de données personnelles, posez-vous les questions suivantes :

Qui ?

  • Inscription dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données
  • identification des responsables des services opérationnels traitant les données au sein de SKALE-5
  • Etablissement de la liste des sous-traitants.

Quoi ?

  • Identification des catégories de données traitées
  • Identification des données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé)

Pourquoi ?

  • Identification de la ou les finalités pour lesquelles ces données sont collectées ou traitées (exemple : gestion de la relation commerciale, gestion RH…).

Où ?

  • Déterminez le lieu où les données sont hébergées.
  • Indiquez quels pays les données sont éventuellement transférées.

Jusqu'à quand ?

  • Indication du temps de conservation pour chaque catégorie de données

Comment ?


Data Protection Officer SKALE-5

Je suis le Data Protection Officer (DPO) de SKALE-5. Je reste à votre écoute pour toute question concernant la Protection des données des personnelles et le RGPD. - dpo@skale-5.com -