Fiche pratique

Conformité : le RGPD en 5 points clés

#conformité

1. Le RGPD : de quoi s’agit-il ?

Le RGPD (Règlement Général sur la Protection des Données Personnelles) modifie et complète la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. C’est un règlement qui vise à harmoniser, au sein des pays de l’Union Européenne, les pratiques en matière de protection des données personnelles et à renforcer la protection des citoyens. Il sera applicable à compter du 25 mai 2018.

Pour quoi ?

Le RGPD renforce les droits des citoyens européens et leur donne plus de contrôle sur leurs données personnelles. Il simplifie les formalités pour les entreprises et leur offre un cadre juridique unifié.

Pour qui ?

Le RGPD concerne tous les établissements, quels que soient leur taille et leur secteur d’activité, qui ont accès à des données personnelles de leurs clients et/ou de leurs collaborateurs et/ou d’autres tiers. Il s’agit d’établissements situés sur le territoire de l’union européenne ou traitant des données de personnes se trouvant sur ce même territoire.

2. Le RGPD protège le citoyen

Dans le prolongement de la loi Informatique et libertés, le RGPD vise à défendre les droits et libertés des individus en renforçant la protection de leurs données personnelles. Une donnée à caractère personnel est une donnée permettant l’identification directe ou indirecte d’une personne physique (nom, adresse mail, adresse IP,…).

En pratique, le RGPD permet notamment à toute personne concernée par un traitement de demander à son prestataire :

  • de bénéficier de plus de lisibilité sur ce qui est fait de ses données pour qu’il exerce ses droits plus facilement (droit d’information, droit d’accès, droit de rectification),
  • de demander à ce qu’un lien soit déréférencé d’un moteur de recherche ou qu’une information soit supprimée (droit à l’oubli),
  • de récupérer ses données personnelles dans un format lisible et structuré pour les transmettre à une autre entité (droit à la portabilité)

+ d’info. sur : cnil.fr/fr/plus-de-droits-pour-vos-donnees

3. Le RGPD responsabilise les entreprises

Un grand nombre d’obligations incombent à l’établissement collectant directement les données à caractère personnel auprès des personnes concernées. Il s’agit des responsables de traitement. De manière plus précise, sont responsables de traitement au sens de cette réglementation les établissements qui décident de la finalité et des moyens de la collecte de données à caractère personnel.

En pratique, le RGPD :

  • renforce les obligations de sécurité et de confidentialité de chaque acteur. Nous devons tous prendre en compte la protection des  données dès la conception du service ou du produit et mettre en place des mesures permettant de garantir une protection optimale et par défaut des données.
  • généralise l’obligation de notification de toute faille de sécurité (sous 72 h pour les responsables de traitement).
  • réaffirme l’obligation de ne collecter et de ne conserver que les données strictement nécessaires à la finalité déclarée.
  • impose aux entreprises de tenir un registre de tous les traitements de données à caractère personnel.
  • impose dans certain cas de nommer un Délégué à la Protection de Données (DPO ou DPD).
  • prévoit des sanctions élevées en cas de non-respect de la réglementation.
  • réaffirme le rôle de la CNIL en tant que garante de la bonne application du RGPD et référent unique des entreprises en matière de protection des données personnelles

+ d’info. sur : cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

4. La responsabilité d’Harvest

Au titre du RGPD vous êtes les responsables de traitement et vous devez vous organiser pour répondre aux obligations du règlement. Dans certains cas, Harvest est sous-traitant du traitement de ces données. Concrètement, c’est le cas lorsque nous avons accès à des données à caractère personnel traitées par vous. Le RGPD vous impose alors de vous assurer que nous présentons des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources.

En tant que sous-traitant, nous devons spécifiquement :

  • vous aider dans la mise en œuvre de certaines obligations du règlement (notification de violation de données, sécurité, contribution aux audits).
  • ne traiter les données personnelles que sur instruction documentée du responsable de traitement et dans le respect de la confidentialité.
  • tenir un registre des activités de traitement effectuées pour votre compte.
  • formaliser nos obligations respectives dans nos contrats de service

+ d’info. sur : cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-soustraitants

5. Harvest, RGPD ready ?

Harvest étant un professionnel du traitement informatique de la donnée depuis 30 ans, les principes de sécurité sont bien entendu une réalité au cœur de nos préoccupations. Le RGPD nous demande de partager avec vous la documentation concernant nos dispositifs, ce que nous ferons dans les prochaines semaines.

Harvest met tout en œuvre pour que ses produits maintenus soient « RGPD Ready », c’est-à-dire qu’ils soient prêts pour l’entrée en application du RGPD.

Nous vous recommandons de vérifier que vous utilisez bien les dernières versions de nos logiciels et de bien déployer les prochaines mises à jour. Nos applications en SaaS, quant à elles, bénéficieront toujours des versions actualisées.

Notre engagement est de vous aider au mieux à respecter vos obligations en matière de protection des données. Nous vous accompagnerons tout au long de l’année 2018 et au-delà sur leur mise en place.

Do NOT follow this link or you will be banned from the site!