-->.

.

Le Règlement Général
sur la Protection des Données
(RGPD)

Le site de la CNIL indique que "Le règlement vise à remplacer la directive européenne de 1995 sur la protection des données à caractère personnel (95/46/CE), par une législation unique, afin de mettre fin à la fragmentation juridique actuelle entre les Etats membres."

Comme il s'agit d'un réglement communautaire, il s'applique totalement et directement, à la différence d'une directive qui permet aux pays membres un délai d'adaptation pour se conformer aux objectifs demandés. Ce réglement sera donc applicable dès le 25 mai 2018 et il va modifier sensiblement le traitement des données à caractère personnel.

Nous vous invitons à consulter, pour plus d'informations sur ce sujet, le site de la CNIL

Nous pouvons déjà pointer l'importance de trois points clés de ce réglement(même s'ils sont plus nombreux à revêtir cette importance):

1) le principe d’"accountability".

"L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données." (source: CNIL)

Ce nom commun anglais est difficile à traduire en français, on en comprend le sens que si on le situe par rapport au contexte dans lequel il est employé. Il évoque ici la responsabilisation et, en ce sens, le fait de devoir rendre des comptes.

Non seulement il y a obligation de se conformer aux règles relatives à la protection des données, mais il faut rendre compte en démontrant, en prouvant que cela soit fait.

2) les principes du "privacy by design", du "privacy by default" et l'analyse d'impact

Privacy by design

"Privacy by design" désigne le concept de la protection des données dès la conception (d'une procédure, d'un logiciel, d'un projet, etc.). La réflexion et l'organisation sur la protection des données personnelles doivent être abordées dès la conception d’un projet, par le responsable du traitement.

Pour cela, il doit s'assurer que tout soit fait (techniquement, juridiquement, etc.) pour que ce qui sera mis en oeuvre, soit conforme à la legislation sur le respect des droits des personnes.

Il faut voir dans le "Privacy by design" une mesure préventive: On conçoit, une technologie, un traitement, de façon à ce que la vie privée des individus soit respectée.

Privacy par default

"Privacy by default" désigne le concept de la protection des données par défaut, cela signifie que doit être appliqué, par défaut, à tout traitement, le plus haut niveau de protection des données.

Veuiller consulter ce lien pour plus d'information: http://www.cil.cnrs.fr/CIL/spip.php?article2602

Analyse d’impact

Dès que l'on conçoit un projet, un traitement, qui présentent des risques pour les droits et les libertés des personnes, tant par leurs mises en place, utilisations ou finalités, une analyse sur l'impact qu'auront de tels projets dans le domaine de la vie privée doit être effectuée par le responsable du traitement.

Sont donc, evidemment, concernés tous les traitements comportant des données sensibles. Le responsable des traitements doit évaluer et analyser tous les risques pouvant porter atteinte à la vie privée, d'une manière ou d'une autre et indiquer quelles sont les mesures envisagées pour garantir la sécurité des données.

Les lignes directrices concernant l'analyse d'impact

Ces lignes directrices précisent, entre autres, le profil et les missions du DPD, elles sont consultables sur le site de la CNIL (en français et en anglais):

https://www.cnil.fr/fr/lignes-directrices-du-g29-sur-les-dpia

https://www.cnil.fr/fr/lanalyse-dimpact-relative-la-protection-des-donnees-dpia

Ressources sur le RGPD

Se préparer à la nouvelle réglementation

Pour être en conformité avec le RGPDLa CNIL, a défini 6 étapes majeures:

https://www.cnil.fr/sites/default/files/atoms/files/pdf_6_etapes_interactifv2.pdf

De la nécessité d'un Délégué à la Protection des Données

Vu l'ampleur des tâches à réaliser décrites plus hauts, nous pouvons comprendre les difficultés que vont rencontrer les responsables des traitements, notament dans les instituts et centres spécialisés concernés par la protection des données. Il est donc utile de clarifier le rôle du Délégué à la Protection des Données (DPD) ou communément désigné sous le terme de Data Protection Officer (DPO) (nous reviendrons sur le caractère obligatoire ou volontaire de la nomination d'un Délégué à la Protection des données plus tard)

Les lignes directrices concernant les Délégués à la Protection des données (DPD) ou Data Protection Officers (DPO)

Consultables sur le site de la CNIL (en anglais):

https://www.cnil.fr/sites/default/files/atoms/files/guidelines_on_dpos_5_april_2017.pdf

Le registre des traitements

Le registre des traitements est un document qui prouvera la conformité d'un établissement au RGPD auprès de l'autorité de contrôle(la CNIL). Il est mentionné dans l'article 30 du RGPD, son importance est capitale et se différencie du registre du CIL.

Cartographier les traintements de données personnelles

La CNIL a mis à disposition des professionnels, une page :

https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

A suivre...

L'organisation de cette rubrique "CIL" évoluera en fonction des ressources qui y seront versées

Luc Sordon - CIL pour La Providence