{"id":5464,"date":"2018-04-13T13:28:18","date_gmt":"2018-04-13T12:28:18","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog?p=5464"},"modified":"2018-04-13T13:38:49","modified_gmt":"2018-04-13T12:38:49","slug":"rgpd-quels-changements-le-25-mai-2018","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/gdpr\/rgpd\/rgpd-quels-changements-le-25-mai-2018","title":{"rendered":"RGPD\/GDPR : Quels changements le 25 mai 2018?"},"content":{"rendered":"

Le r\u00e8glement europ\u00e9en en mati\u00e8re de protection des donn\u00e9es \u00e0 caract\u00e8re personnel ou RGPD (GDPR en Anglais) est la nouvelle r\u00e9glementation europ\u00e9enne qui s’applique d\u00e9sormais \u00e0 toute organisation, publique ou priv\u00e9e, traitant des donn\u00e9es relatives aux personnes physiques avec lesquelles elles interagissent (clients, prospects, employ\u00e9s, partenaires, …) dans l’Espace Economique Europ\u00e9en. Il y avait d\u00e9j\u00e0, en France, une loi qui prot\u00e9geait les citoyens contre les traitements abusifs de leurs donn\u00e9es personnelles. Il s’agit de la Loi Informatique et Libert\u00e9s de 1978. Au niveau Europ\u00e9en, il s’agissait de la Directive 95\/46\/CE qui \u00e9tait en\u00a0vigueur depuis 1995. Alors, avec le RGPD (GDPR), qu’est-ce qui change vraiment le 25 Mai 2018? Et pourquoi \u00e0 un peu plus d’un mois de l’\u00e9ch\u00e9ance, tous les acteurs \u00e9conomiques sont-ils aussi f\u00e9briles?<\/i><\/p>\n

\"RGPD\/GDPR
Cr\u00e9dits : Vasily Merkushev \u2013 Fotolia.com<\/figcaption><\/figure>\n

La nouveaut\u00e9 tient essentiellement au fait que le r\u00e9gulateur a pr\u00e9vu des montants d’amendes administratives \u00e9normes en cas de non-conformit\u00e9 avec le RGPD (GDPR). Ces amendes doivent \u00eatre efficaces, proportionn\u00e9es et dissuasives<\/strong> ainsi que le mentionne la loi. Elles peuvent aller jusqu’\u00e0 4% du chiffre d’affaires annuel mondial pour les groupes internationaux. Leur montant peut atteindre jusqu’\u00e0 20 millions d’euros pour les PME. Elles seront applicables d\u00e8s le 25 Mai 2018 en cas de non respect de la loi. J’entends d\u00e9j\u00e0 les commentaires \u00ab\u00a0Il ne faut pas paniquer, il y aura un d\u00e9lai de gr\u00e2ce<\/em>\u00ab\u00a0. Le probl\u00e8me c’est que c’est le d\u00e9lai de gr\u00e2ce qui se termine le 25 Mai 2018<\/em><\/strong>. En fait la r\u00e9glementation est d\u00e9j\u00e0 applicable depuis Avril 2016. La Commission Europ\u00e9enne a laiss\u00e9 deux ann\u00e9es de gr\u00e2ce avant l’application des sanctions. Son objectif \u00e9tait de permettre aux entreprises et organisations publiques pour se mettre en r\u00e8gle.<\/p>\n

Afin de vous guider de fa\u00e7on efficace, nous allons voir pas \u00e0 pas les obligations principales auxquelles vous devez vous soumettre ainsi que les actions \u00e0 entreprendre pour mettre votre organisation en conformit\u00e9 avec le RGPD (GDPR). Ce post constitue une introduction \u00e0 une s\u00e9rie d’articles, \u00e0 venir dans les prochaines semaines, qui d\u00e9tailleront chacune de ces actions.<\/p>\n

Une chose est claire. Si vous n’avez pas encore commenc\u00e9 la mise en conformit\u00e9, vous n’avez aucune chance d’\u00eatre pr\u00eats pour le 25 Mai 2018. Alors il vous incombe de prioriser les actions et d’\u00eatre en mesure de d\u00e9montrer que vous avez d\u00e9marr\u00e9. Vous pourrez toujours esp\u00e9rer la mansu\u00e9tude de l’autorit\u00e9 de contr\u00f4le.<\/p>\n

Trois pi\u00e8ges \u00e0 \u00e9viter<\/h2>\n

S’agit-il vraiment d’une probl\u00e9matique informatique?<\/h3>\n

Tout d’abord, essayons d’\u00e9vacuer un mythe. Le mise en conformit\u00e9 avec le RGPD (GDPR) n’a rien \u00e0 voir avec une obligation au niveau informatique. Les affaires sont un peu difficiles pour les soci\u00e9t\u00e9s sp\u00e9cialis\u00e9es en informatique qui prolif\u00e8rent. Depuis que l’information sur le montant des amendes circule, beaucoup d’entre elles, voyant l\u00e0 un cr\u00e9neau pour se d\u00e9velopper, proposent des logiciels vous permettant de r\u00e9aliser cette mise en conformit\u00e9. Il s’agit l\u00e0 d’une \u00e9norme arnaque. Le probl\u00e8me est d’abord un probl\u00e8me de gouvernance de votre organisation et non un probl\u00e8me informatique. Bien s\u00fbr, cela pourra ensuite d\u00e9boucher sur une mise en conformit\u00e9 des syst\u00e8mes informatiques que vous utilisez. En aucun cas un nouveau logiciel ne vous permettra d’\u00eatre en conformit\u00e9 avec le RGPD (GDPR). Donc exit les logiciels estampill\u00e9s ‘conforme au RGPD’<\/em> (GDPR compliant).<\/p>\n

Comme d’habitude en pareil cas, le march\u00e9 foisonne de charlatans.Ils ne connaissent souvent pas le premier mot de la loi et proposent des outils tout faits pour r\u00e9soudre tous les probl\u00e8mes. Ils r\u00e9solvent surtout le probl\u00e8mes que vous n’avez pas, ignorant ceux que vous avez vraiment. En effet la plupart de ces charlatans sont seulement des informaticiens et en aucun cas des juristes. Leur caract\u00e9ristique commune est essentiellement qu’ils sont incapables de comprendre la loi. Soyez donc prudents avant de vous lancer dans un chantier p\u00e9rilleux tout autant qu’on\u00e9reux!<\/p>\n

Votre organisation est-elle concern\u00e9e par le RGPD (GDPR)?<\/h3>\n

Le deuxi\u00e8me mythe qu’il nous faut lever c’est celui qui consiste \u00e0 penser que toutes les organisations sont concern\u00e9es. C’est archi-faux. Seules les organisations qui manipulent des donn\u00e9es personnelles sont concern\u00e9es. Les donn\u00e9es d’entreprise ne sont pas concern\u00e9es par la r\u00e9glementation. Il y a aussi une notion de taille de l’entreprise et de cible qui entre en jeu.<\/p>\n

Les sanctions pr\u00e9vues seront-elles vraiment appliqu\u00e9es?<\/h3>\n
\"amende-GDPR\"
Cr\u00e9dit : Gilles Paire – Fotolia.com<\/figcaption><\/figure>\n

Le troisi\u00e8me pi\u00e8ge consiste \u00e0 se dire que, compte tenu de l’ampleur de la t\u00e2che qui attend les autorit\u00e9s de contr\u00f4le nationales (en France c’est la CNIL) et de leur manque de moyens, rien ne se passera vraiment. C’est n\u00e9gliger un \u00e9l\u00e9ment important. Il s’agit d’une loi europ\u00e9enne. Donc, en cas de non application dans un pays, des sanctions tomberont directement sur le pays. Les autorit\u00e9s de contr\u00f4le, ind\u00e9pendantes des gouvernements nationaux, vont simplement devoir prioriser leurs actions. Elles vont aussi devoir prioriser les organisation qui repr\u00e9sentent le plus de risques pour les citoyens.<\/p>\n

Il peut s’agir d’entreprises d’ores et d\u00e9j\u00e0 cibl\u00e9es et qui vont devoir se mettre en conformit\u00e9 (Mise en demeure de DIRECT ENERGIE<\/a>). C’est aussi le cas d’Entreprises pour lesquelles les organismes de contr\u00f4le re\u00e7oivent des plaintes de personnes physiques. Il peut s’agir d’organisations dont la protection des donn\u00e9es personnelles a \u00e9t\u00e9 test\u00e9e par une publication et pour laquelle les non-conformit\u00e9s ont \u00e9t\u00e9 rendues publiques (condamnation r\u00e9cente de DARTY<\/a>). Enfin, il peut s’agir d’organismes publics qui n’auront pas d\u00e9sign\u00e9 un responsable de la protection des renseignements personnels (DPO). \u00a0Ce serait le cas, par exemple, d’une municipalit\u00e9 de quelques milliers d’habitants n’ayant pas nomm\u00e9 de DPO.<\/p>\n

Le RGPD (GDPR) s’applique-t-il \u00e0 mon Entreprise ?<\/h2>\n

Notion de donn\u00e9e personnelle et de traitement<\/h3>\n

Le texte de la loi<\/h4>\n

La loi fournit quelques d\u00e9finitions aux articles 2 et 4 permettant de mieux comprendre le p\u00e9rim\u00e8tre du RGPD (GDPR). Vous pouvez consulter le texte int\u00e9gral de la r\u00e9glementation\u00a0en ligne sur le site de la CNIL<\/a>.<\/p>\n

\n
\n

Article 4. D\u00e9finitions<\/em><\/span><\/p>\n

    \n
  1. \u00abdonn\u00e9es \u00e0 caract\u00e8re personnel\u00bb<\/strong>, toute information se rapportant \u00e0 une personne physique identifi\u00e9e ou identifiable (ci-apr\u00e8s d\u00e9nomm\u00e9e \u00abpersonne concern\u00e9e\u00bb). Est r\u00e9put\u00e9e \u00eatre une \u00abpersonne physique identifiable\u00bb<\/strong> une personne physique qui peut \u00eatre identifi\u00e9e, directement ou indirectement, notamment par r\u00e9f\u00e9rence \u00e0 un identifiant, tel qu’un nom, un num\u00e9ro d’identification, des donn\u00e9es de localisation, un identifiant en ligne, ou \u00e0 un ou plusieurs \u00e9l\u00e9ments sp\u00e9cifiques propres \u00e0 son identit\u00e9 physique, physiologique, g\u00e9n\u00e9tique, psychique, \u00e9conomique, culturelle ou sociale;<\/em><\/li>\n
  2. \u00abtraitement\u00bb<\/strong>, toute op\u00e9ration ou tout ensemble d’op\u00e9rations effectu\u00e9es ou non \u00e0 l’aide de proc\u00e9d\u00e9s automatis\u00e9s et appliqu\u00e9es \u00e0 des donn\u00e9es ou des ensembles de donn\u00e9es \u00e0 caract\u00e8re personnel, telles que la collecte<\/strong>, l’enregistrement<\/strong>, l’organisation<\/strong>, la structuration<\/strong>, la conservation<\/strong>, l’adaptation<\/strong> ou la modification<\/strong>, l’extraction<\/strong>, la consultation<\/strong>, l’utilisation<\/strong>, la communication par transmission<\/strong>, la diffusion<\/strong> ou toute autre forme de mise \u00e0 disposition<\/strong>, le rapprochement<\/strong> ou l’interconnexion<\/strong>, la limitation<\/strong>, l’effacement<\/strong> ou la destruction.<\/strong><\/em><\/li>\n<\/ol>\n
    \n<\/blockquote>\n

    Que faut-il comprendre?<\/h4>\n

    D’apr\u00e8s l’article 4, est consid\u00e9r\u00e9e comme donn\u00e9e personnelle toute donn\u00e9e relative \u00e0 une personne physique identifi\u00e9e ou identifiable. Le traitement, pour sa part, d\u00e9marre au moment de la collecte et se termine apr\u00e8s la destruction des informations. Le traitement peut donc consister en une action r\u00e9alis\u00e9e par le responsable du traitement. Par exemple il peut consister en la collecte, l’enregistrement, l’organisation, l’extraction de donn\u00e9es personnelles. Il peut \u00eatre \u00ab\u00a0passif\u00a0\u00bb comme la mise \u00e0 disposition, conservation ou diffusion (via un site web ou un r\u00e9seau social). Le p\u00e9rim\u00e8tre appara\u00eet donc extr\u00eamement vaste.<\/p>\n

    Champ d’application mat\u00e9riel du RGPD (GDPR)<\/h3>\n

    Le texte de la loi<\/h4>\n

    L’article 2 pr\u00e9cise de fa\u00e7on plus limit\u00e9e le champ d’application mat\u00e9riel de la loi.<\/p>\n

    \n
    \n

    Article 2. Champ d’application mat\u00e9riel<\/em><\/span><\/p>\n

      \n
    1. Le pr\u00e9sent r\u00e8glement s’applique au traitement de donn\u00e9es \u00e0 caract\u00e8re personnel, automatis\u00e9 en tout ou en partie, ainsi qu’au traitement non automatis\u00e9 de donn\u00e9es \u00e0 caract\u00e8re personnel contenues ou appel\u00e9es \u00e0 figurer dans un fichier.<\/strong><\/em><\/li>\n
    2. Le pr\u00e9sent r\u00e8glement ne s’applique pas au traitement de donn\u00e9es \u00e0 caract\u00e8re personnel effectu\u00e9 :<\/em>\n