Qu’est-ce que le RGPD ?

Le RGPD : origine, raison d’être et principes-clés

Accueil //Tout savoir sur le RGPD //Qu’est-ce que le RGPD ?

RGPD : Un règlement européen

Le Règlement Général sur la Protection des Données, communément appelé RGPD, est le texte européen de référence en matière de protection des données à caractère personnel. Applicable depuis le 25 mai 2018 sur l’ensemble du territoire européen. Il vient renforcer et compléter les principes établis par la Loi Informatique et Libertés de 1978.

Le cadre réglementaire fixé par le RGPD permet ainsi notamment d’assurer la transparence, de renforcer les droits des personnes concernées, de responsabiliser les entreprises dans le traitement des données personnelles au travers et d’alourdir les sanctions.

Le RGPD s’applique par défaut à tout organisme public ou privé (entreprise, associations, administrations publiques) qui se situe sur le territoire de l’Union Européenne ou qui cible des personnes se trouvant dans l’Union Européenne.

Pour voir cette vidéo, il va falloir consentir au dépôt des cookies ! Et oui, Youtube conditionne la lecture de ses vidéos au dépôt de traceurs pour proposer de la publicité ciblée grâce au bouton « J’accepte ». Bien sûr, vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, visitez la politique cookies de Youtube.

Privacy by Design / Privacy by Default

La protection des données dès la conception

L’actualité relative à la protection des données personnelles révèle de plus en plus les fuites massives de données. Pour éviter cette problématique, le concept de Privacy by Design, littéralement le principe de protection dès la conception, prend de plus en plus d’importance en tant que pratique saine pour le traitement et le stockage des données à caractère personnel.

Qu’est-ce que le Privacy By Design ?

Introduit par l’article 25 du RGPD, ce principe implique pour chaque entreprise de réfléchir en amont aux mesures de protection mises en œuvre pour chaque traitement et ce, en fonction de la nature de la donnée traitée, des finalités concernées, du contexte du traitement et des risques que présentent ce traitement.

Il s’agit de définir les mesures techniques et organisationnelles à mettre en place dès les premières étapes du traitement afin d’être en conformité avec le RGPD et de garantir la protection de la vie privée des personnes concernées.
L’entreprise se place ici dans une approche préventive pour éviter tout accès non autorisé aux données et toute manipulation de données non conforme.

En savoir plus

Le Privacy by Default

Pour s’assurer d’avoir un niveau suffisant en matière de protection des données, il ne suffit pas simplement de le concevoir selon les principes du Privacy by Design.

Un autre principe est à prendre en compte, une fois qu’un produit ou service est rendu public : le Privacy by Default.

Il énonce que le produit ou service doit respecter les standards de protection des données par défaut, sans avoir besoin d’une intervention extérieure.

Ainsi, par exemple, dans le cadre d’une application, l’utilisateur ne doit pas avoir à modifier ses paramètres pour renforcer la protection de ses données. Tout doit être pré-paramétré afin que les données soient protégées de manière optimale.

Pour aller plus loin : comment mettre en œuvre le principe de Privacy By Design ?

Le Privacy By Design s’articule autour de 7 principes :

  • Prendre des mesures préventives de façon proactive afin d’éviter les violations de données personnelles : prévoir et prévenir les incidents d’atteinte à la vie privée des personnes physiques avant qu’ils ne se produisent.
  • Prévoir une protection par défaut de la vie privée c’est-à-dire une protection automatisée et implicite : cette protection se présume et doit être automatique sans que la personne concernée n’ait besoin de l’exprimer ou de s’en assurer elle-même.
  • Protection de la vie privée dès la conception des systèmes et des pratiques de l’entreprise : autrement dit, il faut intégrer la protection de la vie privée dans l’architecture du système d’information dès le départ et lui prévoir des fonctionnalités à cet égard.
  • Assurer la protection pendant toute la période de conservation des données personnelles, autrement dit toutes les mesures nécessaires doivent être mises en œuvre pour assurer cette protection tout au long de la conservation de sorte à assurer la destruction des données au terme de la conservation.
  • Assurer une protection intégrée de la vie privée : dans ce cas de figure il faut à la fois assurer une protection de la vie privée tout en tenant compte des intérêts légitimes et objectifs poursuivis par l’entreprise.
  • Respecter la vie privée des utilisateurs : les intérêts des personnes concernées prévalent et l’entreprise dans sa conception de projet doit prendre ses intérêts en amont conformément aux réglementations relatives à la vie privée.
  • Assurer la visibilité et la transparence des pratiques de l’entreprise : chaque élément intégré aux systèmes lié à la protection des données personnelles doit rester visible et transparent en cas de vérification. Cela permet d’instaurer un climat de confiance.

Le principe de Privacy By Design doit être pris en compte à chaque changement dans l’organisation de l’entreprise (nouvelle technologie traitant des données personnelles par exemple, telle que la mise en place d’un nouveau logiciel de traitement de la paie).

PIA : Analyse et prévention des risques

Le Data Privacy Impact Assessment, aussi appelé DPIA, voire PIA (bien que cette notion se réfère plus à une analyse concernant la vie privée), est une analyse d’impact sur la protection des données. Auparavant traduite en Etude d’Impact sur laVvie Privée (EIVP) par la CNIL, le PIA est désormais consacré par le RGPD.

Qu’est-ce qu’un PIA RGPD ?

L’analyse d’impact est un outil permettant de responsabiliser les organismes sur leurs traitements de données personnelles. Précisément, il s’agit d’une analyse des risques de sécurité visant uniquement les données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, lorsque leurs données sont traitées.

Quels sont les traitements qui nécessitent un PIA RGPD ?

La mise en place d’une analyse d’impact est obligatoire dans le cas où le traitement renferme deux des critères mis en place par le Comité Européen de la Protection des Données (CEPD) :

  • Les traitements à grande échelle
  • La surveillance systématique
  • Les décisions automatiques produisant des effets juridiques
  • Le traitement de données à caractère personnel sensibles
  • L’évaluation ou la notation basée sur des données personnelles, y compris le profilage et la prédiction
  • Le traitement de données biométriques, de données relatives à des infractions et condamnations pénales
  • Des traitements relatifs à des technologies nouvelles / technologies innovantes
  • En cas de croisement de données
  • Les traitements qui empêchent les personnes concernées d’exercer un droit ou de bénéficier d’un service ou d’un contrat

Le PIA est obligatoire dès que deux critères précités sont remplis.

Les autorités de contrôle locales se réservent le droit d’étendre la liste des traitements nécessitant une analyse d’impact.

La CNIL a ainsi publié la liste des traitements pour lesquels une analyse d’impact relative à la protection des données est requise 1 ainsi que la liste des traitements pour lesquels une analyse d’impact relative à la protection des données n’est pas requise 2.

Cas d’usage

Votre entreprise souhaite mettre en place un système de contrôle des emails sortant de la messagerie, scannant les emails avec comme finalité de détecter des fuites d’informations confidentielles en provenance de vos employés. Votre Délégué à la Protection des Données (DPO) est alerté et recommande la conduite d’un PIA. En effet, un tel système consiste en un traitement répondant à au moins deux critères : surveillance systématique et utilisation de technologies innovantes.

De quelle manière réaliser un PIA RGPD ?

D’une part, c’est au responsable de traitement qu’incombe la réalisation du PIA. L’analyse d’impact doit être effectuée en amont de la mise en œuvre du traitement, avant que l’entreprise ne traite les données.

Plusieurs méthodes existent pour réaliser un PIA et la CNIL a publié un guide disponible directement sur son site 3. Elle a également mis à disposition du public son propre outil de PIA 4, afin d’aider les entreprises à mettre en place ce processus. Ce module est régulièrement mis à jour par la CNIL.

En résumé, un PIA consiste à décrire le contexte du traitement, la justification juridique du traitement et l’ensemble de ses conséquences négatives potentielles pour les personnes concernées. Si les risques pour les personnes concernées sont trop importants, il convient de mettre en place et décrire des mesures permettant d’atténuer ces risques. Ce n’est que si les risques sont faibles que le traitement pourra être mis en œuvre.

En savoir plus

RGPD : Les 7 facteurs-clés de réussite

Pour voir cette vidéo, il va falloir consentir au dépôt des cookies ! Et oui, Youtube conditionne la lecture de ses vidéos au dépôt de traceurs pour proposer de la publicité ciblée grâce au bouton « J’accepte ». Bien sûr, vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, visitez la politique cookies de Youtube.

 

1 Liste des traitements pour lesquels un PIA est requis, CNIL.

2 Liste des traitemments pour lesquels un PIA n’est pas requis, CNIL.

3 Guide sur l’analyse d’impact relative à la protection des données, CNIL.

4 Outil PIA de la CNIL.

À lire aussi