RGPD, mettez-vous en conformité avec le nouveau règlement !

Associations, fondations, bibliothèques… Tous concernés !

Le GDPR pour « General Data Protection Regulation » ou encore en français RGPD « Règlement Général sur la Protection des Données » est un règlement européen qui détaille les nouvelles obligations liées à l’utilisation des données personnelles. Celui-ci est décrit comme la plus grande avancée de ces 20 dernières années, concernant la législation sur les données personnelles et est entré en vigueur le 25 mai 2018.

À cette date toutes les organisations doivent à minima avoir entrepris les démarches pour se mettre en conformité avec ce règlement. Il s’applique aux acteurs économiques et sociaux, les entreprises bien sûr mais aussi les associations, les fondations, les administrations, les collectivités…

Au fait, une donnée personnelle c’est quoi ?

Le RGPD définit une donnée personnelle comme étant « toute information se rapportant à une personne physique identifiée ou identifiable […] directement ou indirectement ». Un simple nom est donc déjà une donnée personnelle. La plus simple et la moins sensible d’une liste infinie qui peut aller d’une adresse postale, d’une photo, d’une taille jusqu’à des données économiques, culturelles, sociales, génétiques… Un grand pas pour tous les citoyens européens.

Cette nouvelle directive est d’abord un grand pas en avant pour les citoyens : l’arrivée de ce règlement sonne la fin d’une période où la protection des données personnelles pouvait être facilement ignorée. Ces informations sensibles étaient jusque-là encadrées par une directive datant de 1995. Elle posait déjà de nombreux principes importants, mais sans sanction claire et écrite avant l’avènement d’internet, des réseaux sociaux, de la géolocalisation…

Cette directive n’était pas transcrite de la même façon dans tous les pays d’Europe d’où la décision de l’Union européenne d’établir cette fois un règlement et non une directive. Le règlement fait directement office de loi dans les 27 pays membres de l’Union européenne.

RGPD : qu’est-ce qui change ?

Les 6 principales nouveautés apportées par le RGPD :

1 : Le renforcement des droits des personnes : il impose de recueillir et conserver le consentement au traitement des données personnelles.

2 : L’obligation d’information : il impose aux structures victimes d’un piratage des données personnelles d’informer dans les 72 heures la Commission Nationale de l’Informatique et des Libertés (CNIL) et les personnes concernées dont les informations ont été volées.

3 : Des sanctions lourdes : il met en place des sanctions dissuasives, pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial d'une organisation. Le montant le plus élevé étant celui retenu.

4 : Le principe de minimisation des données collectées : il impose de ne collecter que les renseignements strictement nécessaires au regard des finalités pour lesquelles elles sont traitées.

5 : Le droit de portabilité des données : les personnes, dont les informations ont été collectées, ont le droit de demander à recevoir les données à caractère personnel les concernant.

6 : Le registre des données : il oblige les organisations à tracer l’ensemble des traitements des données personnelles mis en œuvre au sein de l’organisation.

Associations, fondations... Comment m'y préparer ?

Les cibles prioritaires de ce nouveau règlement sont clairement les entreprises qui collectent des données personnelles, parfois très sensibles, à des fins commerciales. Une association sportive locale et sa liste de 150 adhérents avec nom, prénom, adresse et taille (pour les maillots !) n’est clairement pas dans le collimateur direct de la commission européenne mais un règlement fait office de loi et à ce titre chacun doit s’y conformer.

Pour vous aider, la CNIL publie un guide complet rappelant les précautions élémentaires à prendre avant la mise en application du RGPD, des fiches pratiques et outils pratiques pour aider les organisations à se mettre en conformité.

La CNIL met en avant les 6 étapes fondamentales à suivre pour se mettre en conformité :

• Désigner un pilote : il s'agira de la  personne responsable du traitement de ces données et la mise en conformité de l'organisation.
• Cartographier vos traitements de données personnelles : tenir un registre des traitements des données vous aidera à faire le point.
• Prioriser les actions : notez les actions prioritaires à mettre en place au regard des risques pris vis-à-vis de la conservation et du traitement de ces données, répertorier les risques potentiels engendrés par les données conservées. (comprendre le type de données traitées, les impacts potentiels du traitement de ces informations sur les droits et libertés des personnes concernées, analyser les mesures prises ou à prendre pour se prémunir de ces risques potentiels (contrôle d'accès, chiffrement...) et leur gravité potentielle.

La CNIL présente quelques outils pour vous aider à analyser vos données dont le tableau ci-dessous :

• Gérer les risques : pour les données susceptibles d'engendrer des risques pour les droits et libertés des personnes concernées, il faudra établir une étude d'impact sur la protection des données.
• Organiser les processus internes qui garantiront la protection des données collectées
• Documenter la mise en conformité, il s'agit de collecter les documents nécessaires à prouver votre conformité avec le RGPD

Pour plus d'informations sur ces 6 étapes, consultez le document : Règlement européen sur la protection des données personnelles se préparer en 6 étapes.

La CNIL précise aussi les mesures à prendre pour se mettre en conformité avec le RGPD dans 17 fiches pratiques :

1. Sensibiliser les utilisateurs
2. Authentifier les utilisateurs
3. Gérer les habilitations
4. Tracer les accès et gérer les incidents
5. Sécuriser les postes de travail
6. Sécuriser l’informatique mobile
7. Protéger le réseau informatique interne
8. Sécuriser les serveurs
9. Sécuriser les sites web
10. Sauvegarder et prévoir la continuité d’activité
11. Archiver de manière sécurisée
12. Encadrer la maintenance et la destruction des données
13. Gérer la sous-traitance
14. Sécuriser les échanges avec d’autres organismes
15. Protéger les locaux
16. Encadrer les développements informatiques
17. Chiffrer, garantir l’intégrité ou signer

L’arrivée du RGPD le 25 mai 2018 est donc l’occasion pour chaque organisation de faire un état des lieux des données personnelles qu’elle collecte : sur ses bénévoles, ses adhérents, ses employées... Ensuite il faudra s’assurer que le traitement de ces données et les outils utilisés respectent bien les nouvelles règles en vigueur. 

Retrouvez notre infographie pour vous aider avec le RGPD 

Pour aller plus loin :

• Retrouvez les impacts du RGPD sur vos pratiques d'e-mailing : les changements à mettre en place
• Retrouvez le résumé du webinaire pour comprendre les enjeux du RGPD et voir des cas d'usages.
• Téléchargez le livre blanc : RGPD : un cadre general qui s'impose à tous les ESMS par Widip