Qu’est-ce que le RGPD ?

De quoi s’agit-il ?

Le Règlement Général sur la Protection des Données (RGPD ou encore GDPR, de l’anglais General Data Protection Regulation) entré en vigueur le 25 mai 2018, est le règlement européen définissant les mesures à respecter pour protéger les données à caractères personnelles de tout individu.

Dans le but de permettre à tout organisme plus de pertinence et de transparence dans sa collecte d’informations, un respect des droits individuels plus abouti, une meilleure maîtrise de ses informations privées, ainsi qu’une prise de conscience des risques encourus si ses données étaient dévoilées et, par conséquent, une meilleure connaissance et prise en charge de sa sécurité.

Que peut-on savoir si le RGPD n’est pas respecté ?

Une donnée personnelle est une caractéristique permettant d’identifier une personne physiquement ou moralement, de manière directe ou indirecte. Par exemple, par ses coordonnées, son identité, son physique, ses numéros de clients ou numéros de commandes, ses données de santé, de localisation, etc.

Toutes ces informations peuvent être récoltées à partir d’une base de données, mais peuvent aussi être croisées, notamment grâce aux cookies présents sur les pages web.

Les publicités sur internet sont envoyées à « bon escient » sur internet et, dans ce type de cas, il peut s’agir d’un traitement de données personnelles de l’utilisateur.

Par exemple, une offre est proposée à vos employés par un nouveau restaurant. Étonnamment, celui-ci vient d’ouvrir sur la route que vos salariés empruntent matin et soir pour venir travailler ? Bien sûr, la géolocalisation de leur smartphone l’enregistre chaque jour …

Qui est concerné par le RGPD ?

Tout organisme européen qui traite des données personnelles, de toute taille, quelle que soit son activité, qu’il soit public ou privé, est concerné par ce règlement, si cette dernière concerne des utilisateurs européens aussi.
Organisme qui, par conséquent, s’expose à des amendes s’il ne le respecte pas.

En effet, en cas de non-respect de celui-ci, la Commission Nationale de l’Informatique et des Libertés (CNIL) peut vous sanctionner de différentes façons :

    • Prononcer un rappel à l’ordre
    • Enjoindre de mettre le traitement en conformité y compris sous astreinte
    • Limiter temporairement ou définitivement un traitement
    • Suspendre les flux de données
    • Ordonner de satisfaire aux demandes d’exercices des droits des personnes y compris sous astreinte
    • Prononcer une amende administrative

Comment respecter le RGPD ?

Si vous êtes propriétaire d’une organisation étant amenée à collecter des informations à caractères privés sur vos adhérents (un site internet, d’une application, d’un logiciel quelconque), il vous faut être clair et le mentionner.

Tout d’abord, dans vos mentions légales, politique de confidentialité et conditions générales de ventes (si vente il y a). Vous devez y élaborer et citer distinctement tout le processus de collecte d’éléments personnels. L’utilisateur doit accepter les conditions en arrivant sur votre site et ne doit pas être pris au dépourvu d’une quelconque manière que ce soit s’il doit renseigner ses informations. Tout doit être explicité au préalable.

Selon la taille de votre organisme, vous devrez également désigner un Représentant Légal, éventuellement un délégué à la protection des données (DPD), ainsi qu’un Sous-Traitant.

L’utilisateur quant à lui devra être vigilant aux informations concernant les cookies qui sont affichées lorsqu’il navigue sur un site internet. Ce dernier aurait machinalement tendance à cliquer sur le bouton « Tout Accepter » pour être débarrassé de ce “pop-up”, sans lire l’intégralité de cette charte d’utilisation de cookies, alors qu’il lui est possible de chercher le bouton « Tout refuser ».

Vous occupez un poste à Responsabilité, gérez des données personnelles ? Méfiez-vous, l’utilisateur a tout à fait le droit de porter plainte auprès de la CNIL ou de la gendarmerie si ses droits ne sont pas respectez.

« Un droit à réparation des dommages matériel ou moral : Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. » (CNIL)

Les bons gestes à appliquer

Également, le fait de prêter attention aux gestes de sécurité du quotidien vous permettront de contribuer, aux côtés de votre organisation, à la protection des données à caractère personnel, tels que :

    • Imposer à vos salariés des mots de passes robustes
    • Mettre en place une charte informatique dans votre organisation
    • Mettre en place une charte RGPD dans votre organisation
    • Veillez à ce que tous les postes de votre organisation soient bien à jour
    • Maintenir la mise en veille automatique des postes informatiques afin qu’ils se verrouillent si un utilisateurs venaient à quitter son poste par inadvertance
    • Formez régulièrement vos équipes à la sécurité et aux dangers d’internet
  • Effectuez régulièrement des sauvegardes des données de votre organisme