Le sigle RGPD signifie Règlement général sur la protection des données et s’inscrit dans la continuité de la Loi Informatique et Libertés entrée en vigueur en 1978. Son objectif est de rendre aux citoyens le contrôle de leurs données personnelles, tout en veillant à ce que les entreprises puissent traiter plus simplement ces données. C’est aussi la prévention la plus efficace en cybersécurité contre les risques numériques. Son champ d’action s’articule autour de plusieurs principes, tous conçus pour protéger les données.

Connaître les principes essentiels du RGPD permet de sensibiliser tout professionnel à la protection des données. À savoir :

• le principe de minimisation ;
• la transparence ;
• la durée de conservation.

Par exemple, le premier de la liste consiste à ne collecter que les données strictement nécessaires à un objectif précis. La transparence a pour but d’informer clairement les personnes de l’utilisation de leurs données. La durée de conservation concerne la date limite des archives, puisqu’elles ne peuvent légalement pas rester en base active une fois l’objectif atteint.

Trois autres principes sont également importants. Pour commencer, l’accès simplifié aux données personnelles, que ce soit pour une consultation, une modification, ou une suppression de celles-ci. Ensuite, la sécurisation des données physiques et informatiques, qui doivent s’adapter en fonction de la sensibilité de celles-ci. Enfin, le dernier grand principe pour la responsabilisation des acteurs est de veiller à ce que la conformité au RGPD soit inscrite dans une démarche continue et quotidienne.

La notion de données personnelles concerne, selon la CNIL (Commission nationale de l’informatique et des libertés), l’identification directe ou indirecte d’une personne. Dans le premier cas, la personne est identifiable par son nom ou par son prénom. Dans le second, elle peut l’être par un numéro (téléphone, identifiant…), par l’aspect physique (physiologie, image…), ou encore par un élément culturel voire social. La base de données personnelles compile alors des informations d’identification d’une personne physique. Il peut s’agir d’une donnée unique comme le numéro de sécurité sociale, ou d’un ensemble de données telles que le sexe, le lieu de résidence et la date de naissance.

Le traitement des données personnelles est délicat puisqu’il est possible d’identifier une personne physique à partir d’informations croisées. Il s’agit, plus précisément, d’un ensemble d’opérations utilisant divers procédés (collecte, utilisation, mise à disposition, enregistrement, conservation…) pour arriver à un objectif précis. Les données collectées (sur papier ou de manière informatisée) ne doivent servir que pour cet objectif, en accord avec l’activité professionnelle.

À titre d’exemple, la tenue ou la mise à jour d’un fichier ne nécessite pas de connaître les convictions religieuses ou l’opinion politique d’une personne. Par ailleurs, ces informations ne peuvent être ni gardées (durée de conservation limitée), ni utilisées d’une quelconque façon. Le RGPD permet d’aider les sociétés à traiter au mieux ces données personnelles dans un cadre légal, suite au consentement clair de l’utilisateur.

Le règlement du RGPD concerne tout organisme, qu’importe sa taille ou son secteur d’activité, qu’il soit public ou privé, réalisant de la collecte ou du traitement de données. Sont concernées toutes les structures en place au sein de l’Union européenne, ainsi que celles en dehors s’adressant aux habitants du territoire européen. Cela inclut également les sous-traitants pour le compte d’autres organismes.

Le règlement du RGPD est encadré par la CNIL, autorité administrative indépendante qui veille aux droits de l’homme, à sa liberté individuelle et publique, ainsi qu’à sa vie privée. Selon la Loi informatique et libertés (6 janvier 1978, modifiée en 2004 et 2019), son objectif est de protéger le citoyen, mais également d’accompagner les responsables du traitement des données dans leurs actions, qu’ils soient acteurs privés ou publics.

Les missions de la CNIL consistent à :

• informer les citoyens sur leurs droits et leurs obligations ;
• réguler et recenser les fichiers de données personnelles ;
• protéger les données personnelles des citoyens ;
• contrôler les systèmes d’information ;
• anticiper les conséquences de l’innovation numérique ;
• sanctionner tout manquement à la loi.

Les outils de conformité du RGPD pour aider les entreprises dans le traitement des données sont confiés au DPO (Délégué à la protection des données). Celui-ci doit disposer du statut et des compétences nécessaires pour exercer son rôle. C’est lui qui orchestre la mise en conformité du RGPD dans la structure qui l’a élu. En tant que garant du respect de la loi, il doit posséder des compétences techniques pour déterminer le niveau de sécurité des systèmes d’information, avoir les connaissances requises en organisation et en communication, ainsi qu’être en mesure de proposer une expertise juridique.

Pour lui permettre d’évaluer un organisme, le RGPD met à disposition du DPO des outils pratiques tels que l’encadrement des transferts de données, les normes et dispenses, ou encore :

• le registre des activités de traitement ;
• l’AIPD (Analyse d’impact sur la protection des données) ;
• les mentions d’information ;
• les cadres de référence ;
• la certification d’un service ;
• les codes de conduite.

En cas de violation ou de non-conformité du RGPD, les sanctions appliquées peuvent être sévères. Les amendes administratives peuvent atteindre 20 000 000 €. Les amendes données aux sociétés peuvent constituer jusqu’à 4% du chiffre d’affaires mondial. Dans certaines circonstances, la peine de prison est envisageable. De plus, une entreprise qui voit les noms des fautifs ouvertement publiés se verra attribuer une mauvaise image.

Respecter le RGPD permet de protéger sa société, ses collaborateurs et ses clients. La CNIL, autorité de contrôle, exerce pour cela des inspections aléatoires et imprévues, sur place ou à distance, pour vérifier que le règlement général est bien appliqué. N’importe quel organisme peut être soumis à un contrôle de la Commission nationale et se retrouver en situation de non-conformité.

Qu’il s’agisse d’archives en papier ou de données personnelles informatisées, une large majorité des salariés a pour devoir de se sensibiliser à la mise en œuvre de dispositifs de protection des données. Cette réglementation obligatoire concerne toute structure ayant à traiter des informations personnelles. Callimedia a conçu pour cela un module de formation permettant la mise en conformité, en cas de contrôle, de tous ceux concernés.

Comprendre la définition de RGPD est indispensable. Aussi bien son impact sur la vie privée des citoyens et sur les responsables du traitement des données (amende administrative, peine d’emprisonnement,…), que la notion de consentement et de transparence. Selon le type de structure, le consentement comme le traitement peuvent nécessiter une vigilance particulière. C’est le cas, notamment, des données sensibles (infractions, condamnations pénales…). S’informer est la première étape vers la mise en conformité et le respect du RGPD.

Le suivi de la formation e-learning sur le RGPD proposé par Callimedia, d’une durée de 35 minutes, concerne toutes les tailles d’entreprises. Ce module interactif, rédigé par un avocat expert en données personnelles, a pour objectif de sensibiliser tout individu sur la conformité au RGPD. À terme, vos collaborateurs sont à même de prendre les mesures nécessaires dans le cadre d’un traitement des données sans faille au sein de leur entreprise.

À l’aide d’activités pratiques et immersives, l’apprenant comprend les principes du RGPD pour l’appliquer. Il prend également conscience des droits et des risques en cas de non-conformité. Cela concerne aussi bien les droits des utilisateurs à titre individuel, que leurs droits dans le traitement des données personnelles (droit de rectification, d’opposition, d’accès, etc…).

L’impact sur la vie privée en cas de divulgation, de fuite ou d’utilisation abusive des données personnelles peut être violent. D’un autre côté, l’amende administrative devrait suffire à dissuader quiconque de ne pas respecter le RGPD. La mise en conformité doit permettre un intérêt légitime et réciproque entre les responsables du traitement des données et le citoyen.

Pour en savoir davantage sur le catalogue de formations e-learning proposé par Callimedia, vous pouvez nous contacter directement au 04 67 02 10 00, ou bien remplir le formulaire en ligne. Notre équipe vous présentera le module de sensibilisation au Règlement Général sur la Protection des Données (RGPD).

Protégez les données personnelles et la vie privée de vos collaborateurs, identifiez votre niveau de responsabilité dans ce domaine, et assurez votre conformité au sein de votre structure sur le long terme. La formation en ligne de Callimedia vous permettra de réaliser un traitement des données personnelles dans le respect du RGPD et de la loi.