Les textes : Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016.
Entrée en application le 25/05/2018
RGPD (source CNIL) (lien vers le règlement intégral)
Le RGPD s’applique à toute organisation (entreprise, association, collectivité, publique et privée) qui traite des données personnelles pour son compte ou non. Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes
Qu’est ce qu’une donnée personnelle ?
Toute information, identifiant directement ou indirectement une personne physique (ex. nom, no d’immatriculation, n° de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale, adresse IP, ADN, numéro de sécurité sociale, donnée biométrique, ensemble d’informations permettant de discriminer une personne au sein d’une population tels que, donnée physique, physiologique, génétique, psychique, économique, culturelle, sociale, la voix, une photo, lieu de résidence, profession, sexe, âge…).
Qu’est ce qu’un traitement de données personnelles ?
Toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …)
Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
Vos obligations
- Disposer d’un registre de traitement listant vos traitements de données pour avoir une vue d’ensemble
- Constituer une documentation attestant de la conformité au RGPD
- Tenir un registre de sous traitant c’est-à-dire un registre des catégories de traitement que vous effectuez.
- Triez vos données collectées et stockées (et vérifier que vous être en droit de « traiter » ces données)
- Respecter le droit des personnes : les informer que vous collectez des données et du traitement que vous en faites (sur quel support, pourquoi, qui a accès, durée de conservation, modalités de consultation..)
- Respecter le droit d’accès, de rectification, d’effacement, d’opposition à leurs données
- Sécuriser les données ; vous devez les protéger contre les risques de perte, piratage….
Notre prestation :
Notre approche consiste à recueillir toutes les informations concernant les données personnelles traitées dans la structure afin de vous proposer un registre des traitements répondant aux questions en matière de bonne gestion des données.
Les questions sont orientées vers les thèmes suivants :
Pourquoi ces données sont elles récupérées, est ce nécessaire ? qui les récupère, qui les traite et qu’en fait-on?, qui y a accès, comment sont elles classées, archivées, détruites ?…..
Les PIA (données sensibles) si il y a, par exemple: info sur la santé ou un fichier de particuliers non solvables font l’objet le cas échéant d’un traitement particulier sur demande spécifique
Notre prestation comporte jusqu’à 12 traitements-hors PIA- ce qui couvre généralement tous les besoins, par exemple les données :
- des clients
- de salariés
- des sous traitants /fournisseurs
- de la messagerie
- du site internet..
- etc…
Objectifs :
Cette obligation a pour objectif une meilleure protection de l’individu.
C’est aussi pour vous l’occasion :
- De rassurer vos clients qui ne vont cesser de monter en exigence dans ce domaine.
- De développer un avantage concurrentiel ( Privé et appels d’offres publics)
- De rassurer vos collaborateurs et fournisseurs et de véhiculer auprès d’eux une image positive et professionnelle.