Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. RGPD
  3. Une première approche du RGPD
Extrait - RGPD Le comprendre et le mettre en œuvre (3e édition) - (témoignages de responsables de traitement et référents à la protection des données personnelles)
Extraits du livre
RGPD Le comprendre et le mettre en œuvre (3e édition) - (témoignages de responsables de traitement et référents à la protection des données personnelles) Revenir à la page d'achat du livre

Une première approche du RGPD

Structure du document officiel

Toute personne qui s’intéresse à la mise en œuvre du RGPD au sein de son organisation peut se procurer le document officiel « règlement du Parlement et du Conseil du 27 avril 2016 » paru au journal officiel de l’UE. Il s’agit d’un texte de loi pas toujours facile à appréhender sans de bonnes bases juridiques. Nous vous proposons une première approche, certes réductrice, mais qui permet d’en comprendre les éléments structurants.

Le document officiel d’environ 90 pages est organisé en deux grandes parties : la première consacrée à ce qui est appelé "les considérants", introduisant la deuxième consacrée aux articles du règlement.

1. Considérants

La mise au point du règlement s’est faite sur plusieurs années. On peut facilement imaginer que les articles tels qu’ils sont formulés ont été l’objet de très longues discussions et négociations entre les pays membres de l’UE (aujourd’hui 27). Les 173 considérants sont là pour éclairer et faciliter l’interprétation de certains articles.

Par exemple, l’article 4 donne la définition d’une donnée à caractère personnel :

Donnée...

Principaux termes et définitions

De nombreux termes ou expressions vont être utilisés de façon récurrente. Il est nécessaire de bien les comprendre. Vous trouverez dans les pages suivantes une présentation des éléments essentiels.

Données à caractère personnel (DCP)

(RGPD, art. 4.1) Toute information se rapportant à une personne physique identifiée ou identifiable (dénommée « personne concernée »). Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Exemples : des noms de personnes, des adresses, des numéros de téléphone, des enregistrements de vidéosurveillance, des numéros de compte bancaire, des données de géolocalisation, des adresses IP, le numéro de sécurité sociale, des données de santé, etc.

Lors d’une recherche sur les éventuelles DCP au sein d’un système d’information, le critère est tout autant la colonne du tableau dont le libellé est « nom » ou « téléphone » que le nom Durand, Dupond, etc. ou le numéro en lui-même. En priorité, le caractère de DCP doit être analysé au niveau d’un ensemble et non pas d’une information unique existant quelque part dans un coin du système d’information.

Parmi les données à caractère personnel, il est fait une distinction pour certaines données. On parle de catégories de DCP. Il existe essentiellement deux catégories. Les données à caractère personnel "courantes" ou "ordinaires" et les données à caractère personnel sensibles.

DCP sensibles

(RGPD, art. 9.1) Information concernant l’origine raciale ou ethnique...

Les deux piliers du règlement

Le règlement sur la protection des données à caractère personnel repose sur deux piliers :

  • Un pilier "principes fondamentaux juridiques" qui concerne les traitements de DCP et les droits des personnes.

  • Un pilier "sécurité des DCP" traitant des mesures de sécurité techniques et organisationnelles adaptées à une protection adéquate des données à caractère personnel.

images/02DP01.png

Nous traitons dans ce chapitre les éléments se rapportant au pilier juridique, le pilier "sécurité des DCP" étant abordé au chapitre La sécurité des DCP et PIA.

Principes fondamentaux juridiques

Le pilier « principes fondamentaux juridiques » traite, dans un premier temps, des principes relatifs au traitement de données à caractère personnel (base légale, finalité, durée de conservation, etc.), et dans un second temps, des principes relatifs aux droits des personnes concernées (droits d’accès, droits à l’oubli, etc.). Il faut noter que le RGPD a renforcé les droits des personnes concernées au regard de ceux figurant dans la loi Informatique et Libertés de 1978 modifiée.

1. Principes fondamentaux relatifs aux traitements de DCP

Ce sont les principes qui sont développés au chapitre II du règlement et qui sont à appliquer à tous les traitements de données à caractère personnel. Bien sûr, chacun de ces principes s’appuie sur une règle de base, mais aussi sur de nombreuses exceptions ou conditions particulières de mise en œuvre. C’est là que se niche quelquefois la complexité d’interprétation, d’où la nécessité de faire appel à un spécialiste du droit en la matière. Les principes sont :

  • Licéité, loyauté et transparence

  • Finalité déterminée, explicite et légitime

  • Proportionnalité des données

  • Exactitude des données

  • Conservation des données

  • Sécurité des données

  • Responsabilité (Accountability)

Chacun de ces principes est détaillé et illustré dans les pages suivantes.

a. Licéité, loyauté et transparence

Tout traitement de DCP doit être licite

Pour justifier de la licéité du traitement, il faut préciser la base légale de celui-ci. Il existe plusieurs bases légales (article 6), parmi lesquelles les plus courantes sont :

  • Le consentement

    Le consentement doit être explicite ou « éclairé » comme précise le considérant 42 :

    Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement en question.

Dans la majorité des cas, les activités...

Le pilier "sécurité des DCP"

Nous aborderons en détail tous les éléments liés à la sécurité des données à caractère personnel au chapitre La sécurité des DCP et PIA. Cependant d’un point de vue global, le règlement met un accent très important sur la protection des DCP pour limiter le plus possible les usages inappropriés ou malveillants de ces dernières. Les organisations doivent prendre conscience que la protection des DCP est de leurs responsabilités pour éviter toutes violations de données. Cela relance le thème de la sécurité des Systèmes d’Information qui hébergent ces données. Si jusqu’à maintenant la sécurité des systèmes d’information était quelquefois encore négligée, le RGPD donne une nouvelle occasion de s’en préoccuper, pour un bénéfice qui va bien au-delà du règlement en question.

Du droit au management

Nous avons parcouru d’une façon pédagogique le RGPD. Pour les organisations cela peut impliquer de nombreux changements nécessitant des travaux de mise en conformité. Dans l’esprit de cet ouvrage, les deux chapitres suivants vous proposent une approche de pilotage de la conformité au travers d’une mise en œuvre pragmatique sur les axes du règlement qui nous semblent essentiels, comme par exemple : accountability, registre et transfert de données, droits des personnes, Privacy by default, Privacy Impact Assessment.