Ecrit le 9 mai 2018
RGPD quoitesse ? Le RGPD, c’est le Règlement Général sur la Protection des données, le nouveau texte de référence Européen en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union Européenne.
Ce règlement remplacera l’actuelle Directive sur la protection des données personnelles et apporte de nombreux changements. Il étend le champ d’application de la loi sur la protection des données à l’ensemble des entreprises, y compris aux sociétés non-européennes si ces dernières ciblent des résidents de l’U une donnée personnelle nion Européenne.
Il faut rappeler ce qu’est une donnée personnelle : c’est ce qui permet d’identifier un individu ou personne physique. Par exemple, le numéro de série d’un matériel, dès lors où sa garantie est enregistrée, permet d’identifier le propriétaire et devient une donnée personnelle. Dans ces conditions, le mot personnel s’associe par défaut au mot donnée et toutes les entreprises qui facturent des clients nominativement sont concernées par le RGPD.
Même l’adresse email professionnelle d’un individu est une donnée personnelle !
Pour protéger le citoyen, l’Union Européenne. a décidé de lui rendre son pouvoir sur ses données dont il reste l’unique propriétaire ; données qu’il prête à l’entreprise
Lorsque l’entreprise sera piratée (ce qui n’est pas rare), elle aura pour obligation de le communiquer à tous ses clients concernés par la violation de leurs données. Cette seule mesure, dont on imagine facilement l’impact sur la notoriété et la fidélisation, incite à un renforcement sans précédent des mesures de sécurité. d’autant plus que la multiplication des points d’entrée sur les systèmes d’information se multiplient et que les utilisateurs, bercés par leurs usages et routines quotidiens, ne prêtent plus guère attention aux risques de détournement.
l’arrivée du RGPD, dès le 25 mai 2018, marque un tournant dans l’approche de la donnée au sein des entreprises. Elle sonne la fin de l’ère d’une donnée abondante et facilement collectable pour entrer dans celle d’une donnée plus qualitative et citoyenne, car moins intrusive et dont l’utilisation est contrôlée par son propriétaire, la personne physique.
Après le 25 mai 2018, tout traitement en infraction avec le RGPD pourra déboucher sur des sanctions. Des amendes jusqu’Ã 20 millions d’euros ou 4% du chiffre d’affaires annuel de l’exercice précédent pourront être prononcées. Ce sera le montant le plus élevé qui sera retenu entre ces deux cas de figure. Pour les géants du web comme Facebook ou Google, la note pourrait atteindre des dizaines ou des centaines de millions d’euros. Cependant, les multinationales ne sont pas forcément les entreprises les plus exposées car elles ont des armées de juristes et d’experts qui travaillent déjà à plein temps sur le sujet. En revanche, le risque est plus élevé pour les petites entités comme les TPE, PME ou associations, souvent peu renseignées sur le sujet.
Le RGPD s’appuie sur quatre principes clés : le consentement, la transparence, le droit des personnes et la responsabilité.
La CNIL, Commission nationale informatique et libertés a élaboré un guide pratique qui répond aux interrogations des entrepreneurs et propose un « accompagnement pragmatique et adapté pour passer à l’action ».
Comme auparavant, la Commission nationale de l’informatique et des libertés (Cnil) procèdera à des vérifications dans les locaux des organisations ou en ligne. Les contrôles seront effectués sur la base d’un programme annuel, des plaintes reçues par la Cnil, ou encore des informations présentes dans les médias. Ils pourront également faire suite à un précédent contrôle. Etant donné que les principes fondamentaux de la protection des données restent globalement inchangés (sécurité des données, loyauté du traitement, durée de conservation...), ils continueront donc à faire l’objet de vérifications rigoureuses de la part de la Cnil. En revanche, les nouvelles obligations et les nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact...) feront l’objet de contrôles. Mais ils seront dans un premier temps non punitifs.
L’objectif est d’aider les organismes à bien comprendre les enjeux et la mise en œuvre opérationnelle des nouvelles dispositions. Si l’entité est de bonne foi et qu’elle est engagée dans une démarche de conformité, la Cnil n’appliquera aucune sanction durant les premiers mois qui suivront l’entrée en vigueur du règlement. Autre nouveauté à noter, les contrôles effectués sur les acteurs internationaux seront réalisés par plusieurs organismes afin de rendre une décision à portée européenne.
Pour en savoir plus :
voir le site R-G-P-D
Les associations aussi
Dans le cadre de leur activité, les associations sont amenées à constituer des fichiers de leurs adhérents, de leurs donateurs ou de donateurs potentiels. Quelles sont les règles à respecter ?
Une association peut-elle céder, louer ou vendre le fichier de ses adhérents à des fins commerciales ?
OUI. Il faut d’abord informer les adhérents de cette possible revente de leurs coordonnées à des fins commerciales et leur permettre de s’y opposer.
Une association peut-elle diffuser sur son site web l’annuaire de ses adhérents ? OUI. Dans ce cas, comme pour la réponse précédente, les adhérents doivent en être informés au préalable. Ils ont tout à fait le droit de s’y opposer.
Il arrive que des mairies demandent aux associations de leur transmettre le fichier de leurs adhérents en vue d’obtenir des subventions ? Est-ce légal ?
NON. Une telle pratique est contraire au principe constitutionnel de la liberté d’association.
Un membre d’association peut-il exiger la communication de la liste de tous les autres adhérents ?
OUI, si les statuts de l’association prévoient cette possibilité.
Lors du renouvellement du bureau d’une association, un candidat peut-il obtenir la liste des adhérents ?
OUI. Si les statuts de l’association le prévoient, tout candidat peut demander que la liste des adhérents lui soit transmise, à partir du moment où il s’engage à ne pas l’utiliser à d’autres fins que l’élection et à la détruire à la fin des opérations électorales.
Les membres du bureau d’une association, dont les statuts ont été déposés en préfecture, peuvent-ils s’opposer à la diffusion de leurs identités et coordonnées ?
NON. La loi du 1er juillet 1901 relative au contrat d’association prévoit qu’une association ne peut obtenir la capacité juridique qu’en rendant publics, par une insertion au Journal officiel, son titre, son objet, l’adresse de son siège et les noms, professions, domiciles et nationalités de ceux qui sont chargés de son administration. Cette diffusion peut aussi se faire sur en ligne via la version Internet du journal Officiel.
néanmoins, des mesures techniques empêchent d’accéder directement à la page de l’association concernée lorsqu’on interroge les différents moteurs de recherche sur la base de l’identité des membres de son bureau.
Les fichiers de membres et donateurs d’une association doivent-ils être déclarés à la CNIL ?
NON, ces fichiers sont dispensés de déclaration à la CNIL. Mais il faut cependant informer les personnes qu’un fichier est constitué et qu’elles ont un droit d’accès aux informations qui les concernent. Enfin bien sûr, le responsable du fichier doit prendre toutes les mesures utiles afin d’assurer la sécurité des informations personnelles collectées.
Source :
voir le site watch ?v=OUMGp3HHel4