Introduction
Le sigle RGPD signifie Règlement Général sur la Protection des Données (en anglais General Data Protection Regulation ou GDPR). Le RGPD est directement applicable au 25 mai 2018 dans tous les pays de l’Union européenne (UE).
Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.
Il a pour objectifs de :
- donner aux citoyens de l’Union européenne plus de visibilité et de contrôle sur leurs données à caractère personnel (DCP) ;
- permettre à l’administration de maîtriser le cycle de vie des données et de pouvoir les transmettre sur simple demande.
Les principaux objectifs du RGPD sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement.
On cherche donc à mettre en place un système simple, pragmatique et conforme à la réglementation.
RGPD
Qui est concerné par le RGPD ?
Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné.
En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
- Qu’elle est établie sur le territoire de l’Union européenne,
- Ou que son activité cible directement des résidents européens.
En d’autres termes, le RGPD est « extraterritorial ».
Ces organisations doivent respecter les principes de « Privacy by Design » et « Privacy by Default », notamment en termes de sécurité, d’intégrité, de disponibilité, de collecte de consentements, d’information des personnes, de minimisation des données, d’archivage, de purge et de mise à jour.
Sa mise en œuvre
Les organisations doivent pouvoir garantir et prouver leur conformité en matière de protection des données personnelles. Pour les guider, la Commission nationale de l’informatique et des libertés (CNIL), l’autorité de surveillance numérique française, conseille six étapes afin de faire face à cette responsabilité accrue :
- Nommer un délégué à la protection des données, celui-ci est chargé d’un rôle d’information, de conseil et de contrôle interne.
- Recenser les traitements des données, cela permet de faire le bilan sur l’effet du règlement.
- Définir les actions correctives, la priorisation est déterminée en fonction du niveau de risque et grâce au registre des traitements.
- Analyser les risques, il convient de gérer au mieux les risques pouvant entraîner des conséquences sur la sécurité des données.
- Établir des procédures internes, qui permettent de constamment assurer la protection des données personnelles. Il faut ici anticiper les événements éventuels pouvant affecter les traitements en cours.
- Tenir une documentation, ce qui permet de justifier la conformité d’une entreprise au règlement. Il est également essentiel de fréquemment reconsidérer et ajuster les actions et documents afin de garantir une protection des données durable.
Le RGPD renforce de nouveaux droits
Il y a :
- Le droit à la portabilité de ses données : toute personne doit pouvoir récupérer les données qu’elle a fournies à une plateforme et les transférer gratuitement à une autre (réseau social, etc.) ;
- Le droit à notification en cas de piratage de ses données personnelles : la personne concernée doit être rapidement avertie par le responsable du traitement, sauf dans certaines situations (par exemple données déjà chiffrées) ;
- L’action de groupe : toute personne peut mandater une association ou un organisme actif dans le domaine de la protection des données pour introduire une réclamation ou un recours et obtenir réparation en cas de violation de ses données ;
- Le droit à réparation du dommage matériel ou moral : toute personne qui a subi un tel dommage du fait de la violation du RGPD peut obtenir du responsable du traitement ou du sous-traitant la réparation de son préjudice.
Les sanctions en cas de non-respect du RGPD
Les sanctions administratives
Le RGPD permet aux autorités de protection de prononcer des amendes administratives plus importantes.
En cas de violation du règlement, ces amendes peuvent désormais atteindre, selon la catégorie du manquement, 10 à 20 millions d’euros ou, dans le cas d’une entreprise, 2% à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Les États membres peuvent prévoir ou non dans leur législation de telles amendes pour leurs autorités et organismes publics.
Les sanctions pénales
L’article 8436 du RGPD prévoit également aux États membres de mettre en place des sanctions pénales. Chaque État avait jusqu’au 25 mai 2018, pour notifier la Commission des dispositions légales qu’ils appliqueraient.
En France, selon l’Article 226-16 du Code pénal, les sanctions pénales applicables peuvent atteindre jusqu’à 300 000 € d’amende et entrainer jusqu’à 5 ans d’emprisonnement.
La certification
La certification NF a été mise en place pour garantir la conformité des logiciels au Règlement général sur la protection des données (RGPD) en vigueur depuis mai 2018. Elle permet ainsi de certifier que les logiciels respectent les normes techniques et les bonnes pratiques en matière de protection des données personnelles. Elle s’applique à toutes les entreprises, publiques ou privées, et à tous les types de logiciels qui gèrent des données personnelles.
Les logiciels certifiés font l’objet d’audits réguliers pour s’assurer qu’ils continuent de respecter les exigences réglementaires en vigueur. Les utilisateurs de ces logiciels peuvent donc être sûrs que les données personnelles qu’ils gèrent sont protégées conformément à la loi.
Ces projets de certification sont variables en termes de coûts en fonction de :
- La quantité de traitements réalisés sur des données personnelles,
- Le caractère dit « sensible » des données,
- La responsabilité vis-à-vis des données : Responsable ou sous-traitant ?
- La complexité des traitements ou des applicatifs
Sur la certification en elle-même il faut compter un coût entre 8 et 30 K€ en moyenne avec des organismes tiers agréés.
Liste des organismes tiers agréés :
Organisme | Numéro d’agrément | Date de délivrance | Date d’expiration |
---|---|---|---|
LCP CERTIFICATION FRANCE | 2019-134 | Mardi, 12 nov. 2019 | Mardi, 12 nov. 2024 |
SGS | 2020-013 | Jeudi, 23 janv. 2020 | Jeudi, 23 janv. 2025 |
APAVE CERTIFICATION | 2019-138 | Jeudi, 21 nov. 2019 | Jeudi, 21 nov. 2024 |
PECB | 2020-099 | Jeudi, 15 oct. 2020 | Mercredi, 15 oct. 2025 |
BUREAU VERITAS CERTIFICATION FRANCE | 2019-121 | Jeudi, 26 sept. 2019 | Jeudi, 26 sept. 2024 |
AFNOR CERTIFICATION | 2019-092 | Jeudi, 4 juil. 2019 | Jeudi, 4 juil. 2024 |
IAPP (International Association of Privacy Professionals) | 2020-053 | Jeudi, 14 mai, 2020 | Mercredi, 14 mai, 2025 |
LSTI | 2020-069 | Jeudi, 16 juil. 2020 | Mercredi, 16 juil. 2025 |
CESI CERTIFICATION | 2020-048 | Jeudi, 23 avr. 2020 | Mercredi, 23 avr. 2025 |