Protection de données à caractère personnel (RGPD)

Protection de données à caractère personnel (RGPD)

Principe universel, la protection de données à caractère personnel, compte parmi les droits fondamentaux reconnus par les principales organisations internationales

EU_RGPD.pngPrincipe universel, la protection de données à caractère personnel, compte parmi les droits fondamentaux reconnus par les principales organisations internationales (ONU, OCDE, Union Européenne, Conseil de l’Europe, ...). Il y a plus de 40 ans, le législateur français lui octroyait, un statut juridique au travers de la loi « Informatique et Libertés » du 6 janvier 1978 ou LIL. Ce texte, en constante évolution s’est adapté aux mutations technologiques, demeurant au plus près de la transition numérique touchant, aujourd’hui plus qu’hier, les interactions à tous niveaux de la société. Il a posé les bases des droits des personnes concernées par les traitements de données et créé, en France, l’autorité administrative indépendante chargée de leur contrôle, la Commission Nationale de l’Informatique et des Libertés (CNIL).
La généralisation du numérique, le caractère multinational de ses acteurs majeurs, la trans-nationalité de ses infrastructures, ont conduit, dans les années 2010, les pays membres l’Union à s’orienter vers une approche normative issue des travaux du Parlement Européen et du Conseil. Résultant de cette logique, le Règlement Général sur la Protection des Données (UE) 2016/679 ou RGPD, a, par son entrée en application au 25 mai 2018, unifié le cadre juridique de l’ensemble des pays européens en la matière. Et, si les grands principes que nous connaissions en France depuis 40 ans n’ont pas connu de bouleversements majeurs, le Règlement a entrainé des changements de pratiques étroitement liés aux concepts de conformité de responsabilité, approches novatrices dans nos pratiques juridiques.

C’est ainsi que la déclaration à priori des traitements, principe intangible jusqu’à l’entrée en application du RGPD, est devenue l’exception, cédant le pas à une gestion interne de la conformité et de son processus d’amélioration continue soumis à des contrôles à postériori d’une CNIL déchargée des tâches d’instruction amont des dossiers. D’aucuns y voient une généralisation des principes initiés en 2004 lors de la création des Correspondants Informatique et liberté, les CIL. La désignation de ces derniers, alors facultative, autorisait des démarches plus fluides en réalisant l’enregistrement des traitements présentant un niveau de risque modéré pour la vie privée au sein d’un registre interne des traitements et posait, surtout, les bases d’une gouvernance de la protection des données à l’échelle des établissements. Ce sont ces principes, même, que le RGPD a généralisés en imposant au « Responsable du Traitement » de s’assurer et d’être à même de démontrer la conformité des traitements que la structure dont il est juridiquement responsable met en œuvre.

« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. » RGPD art. 24-1.

Il doit, à cet effet désigner un Délégué à la Protection des Données ou DPO (Data Protection Officer) qui veille, de façon indépendante, au respect du RGPD et de la LIL en réalisant, notamment, des missions de sensibilisation, formation, conseil, contrôle, audit ...

Quelles sont les missions du DPO ?

DPO_logo500.pngLe DPO veille de manière indépendante au respect du RGPD ainsi qu’aux dispositions de la loi informatique et libertés au sein de l’établissement, il est directement rattaché au responsable des traitements et ne reçoit aucune instruction dans l’exercice de ses missions :

  • informer et conseiller la présidence  - ainsi que les personnels - sur les obligations qui incombent à l’établissement en vertu du RGPD et d’autres dispositions en matière de protection de données à caractère personnel. relever, si besoin, des manquements constatés, porter conseil sur les mesures destinées à y remédier;
  • veiller à la mise en œuvre de mesures appropriées afin d’être en capacité de démontrer que les traitements sont effectués conformément au RGPD, et si besoin, réexaminer et actualiser ces mesures ;
  • tenir l’inventaire et documenter les traitements de données à caractère personnel, notamment sous la forme d’un registre dédié, en tenant compte du risque associé à chacun d’entre eux compte tenu de sa nature, sa portée, du contexte et de sa finalité ;
  • piloter l’élaboration et la mise en œuvre de politiques, de lignes directrices, de procédures et de règles de contrôle pour une protection efficace des données personnelles et de la vie privée des personnes concernées ;
  • veiller à la bonne application du principe de protection des données dès la conception et par défaut dans tous les projets comportant un traitement de données personnelles ;
  • dispenser un conseil concernant les études d’impact sur la vie privée et en assurer la pertinence ;
  • contrôler, de manière indépendante, le respect du RGPD par l'établissement, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation des personnels participant aux opérations de traitement et les audits s’y rapportant ;
  • s'assurer de la bonne gestion des demandes d’exercice de droits, de réclamations et de requêtes formulées par des personnes concernées par les traitements, s'assurer de leur transmission aux services intéressés et apporter à ces derniers un conseil dans la réponse à fournir aux requérants ;
  •  mettre l’établissement en position de notifier d’éventuelles violations de données auprès de l’Autorité de contrôle et porter conseil à la gouvernance de l’établissement, notamment concernant les éventuelles communications aux personnes concernées et les mesures à apporter ;
  • être le point de contact de la CNIL, en tant qu’Autorité de Contrôle, et coopérer avec elle ;
  • exercer ces missions dans le respect d’une obligation de confidentialité ;
  • présenter un bilan annuel d’activités à la gouvernance de l’établissement.

 

Lettre de mission DPO UCA

Désignation CNIL DPO UCA

Lettre de mission DPO UNS

Désignation CNIL DPO UNS

Quand contacter le DPO ?

RGPDNuage.pngAvant la mise en œuvre d'untraitement de données à caractère personnel, c'est à dire de toute donnée relative à une personne physique identifiée ou identifiable de façon directe ou indirecte : 

  • Identité :  nom, prénoms ...
  • Identification : pseudonyme, numéro, NIR, immatriculation ...
  • État civil : marié, pacsé, célibataire, filiation ...
  • Coordonnées : tel. , adresse postale et électronique ...
  • Images : vidéo-surveillance, trombinoscope, annuaire, organigramme ...
  • Vie personnelle : habitudes de vie, enfants à charge ...
  • Vie professionnelle : CV, scolarité, formation professionnelle, distinctions, adresse mail professionnel ... 
  • Informations d'ordre économique et financier : revenu, situation financière, situation fiscale, RIB, coordonnées bancaires ...
  • Données de connexion : adresse IP, logs ...
  • Données de localisation : déplacements, données GPS, GSM
  • ...

Pour les traitements déjà inscrits au registre  de l’établissement, en cas de modifications sur :

  • les données
  • les détails de la finalité du traitement
  • les destinataires
  • les catégories de personnes concernées
  • les interconnexions de traitements
  • ...

Exemples de traitements devant faire l'objet d'un enregistrement :

  • réalisation d'enquêtes ou de votes électroniques
  • recherches, y compris les thèses, conduisant à la manipulation de données à caractère personnel qu'elles soient sensibles ou non
  • création de listes de contacts (manifestation, colloque, diffusion d'information, sollicitation par voie électronique ...)
  • mise en place d'un système de contrôle d'accès ou d'un système de vidéo-surveillance
  • création d'un site web, blog
  • diffusion de résultats d’examen et de notes
  • utilisation de photographies de personnes
  • études sur les parcours et origines des étudiants
  • communication à des tiers d'informations relatives aux personnels et aux étudiants
  • transfert de données à destination d’un état non membre de l'Union Européenne

Comment réaliser l'enregistrement un traitement ?

Tout traitement - ou fichier- se rapportant à des données à caractère personnel doit être enregistré au registre des traitements de l'établissement  par le DPO, avant sa mise en œuvre.

Le formulaire d'enregistrement au registre établissement, constitue le conducteur de la démarche de documentation de conformité. Véritable "carte d'identité" de chaque traitement, il recense ses caractéristiques essentielles au regard du RGPD :

  • Finalités
  • Identification de la maitrise d'ouvrage
  • Base légale
  • Procédures de gestion des droits des personnes
  • Catégories de personnes concernées
  • Traitement éventuel de données sensibles
  • Catégories, origines, conservation, transferts des données
  • Recours éventuel à la sous-traitance
  • Nécessité de réaliser une analyse d'impact (étude approfondie sur la protection des données)
  • Mesures de sécurité

Je vous engage à préparer le processus  en renseignant, en fonction des éléments dont vous disposez,

puis, à me contacter afin que nous puissions finaliser la démarche.