L’entrée en vigueur, en mai 2018, du Règlement général pour la protection des données n’est pas sans impact pour le quotidien des communicants. La quasi-totalité des outils sont en effet soumis au RGPD : réseaux sociaux, sites web, bases de données, sms, communiqués de presse, etc.
Concrètement, quelles sont les préoccupations prioritaires à avoir ? Par où commencer et comment planifier les principales étapes de la mise en conformité ? Quelles opportunités pour les communicants publics ?
Intervenante : Alice de la Mure, juriste au service des délégués à la protection des données, CNIL
Une conférence animée par Cyrille Lavizzari, formatrice et consultante
VP1 - Toulouse terre de rugby : un puissant marqueur du territoire
RGPD en pratique : notions clefs et bons réflexes
1. 1
LA PROTECTION DES DONNÉES PERSONNELLES
À L’HEURE DU REGLEMENT EUROPEEN (RGPD)
10ème Rencontres nationales
de la communication numérique
27/09/2018
Alice de La Mure – Juriste à la CNIL – Service des DPO
2. Au programme
1. Le contexte d’évolution du cadre juridique, le
changement de culture opéré par le RGPD
2. Comment se conformer à ses nouvelles
obligations et développer ainsi de la confiance?
3. L’accompagnement des professionnels par
l’autorité de régulation
2
3. LE RGPD ET LA RESPONSABILISATION DE
L’ENSEMBLE DES ACTEURS DES TRAITEMENTS
DE DONNEES PERSONNELLES
Cadre juridique
3
4. Genèse et évolution
Un cadre juridique robuste : 40 ans d’âge, marqués par un
renforcement constant du niveau de protection
La loi « Informatique et Libertés » du 6 janvier 1978 - apparition
des grands principes de protection des données
modifiée en 2004 sous l’impulsion des évolutions technologiques, des
usages numériques et de la directive européenne du 24 octobre 1995
enrichie en 2016 par la loi pour une République numérique
Le règlement européen applicable depuis mai 2018 -
avènement de l’ère de la responsabilisation des professionnels
nécessité de mettre en place une gouvernance des données
personnelles
4
5. Economie générale du RGPD
5
Le renforcement des droits des personnes
Obligation générale de transparence et de facilitation de l’exercice des
droits
Création de nouveaux droits
La logique globale de responsabilisation des organismes
Changement de culture
Nouveaux principes de protection « dès la conception » et « par défaut »
Rééquilibrage des situations de responsable de traitement / sous-traitant
Recours à différents outils de conformité et documentation de la conformité
La crédibilisation de la régulation
Sanctions CNIL jusqu’à 20 millions d’euros (ou 4% du CA)
Recours juridictionnels
7. Désigner un DPO et le doter de moyens
suffisants
Obligation de désignation pour tous les organismes publics
rôle essentiel d’information, de conseil, de contrôle et
d’interface
indépendance, expertise et moyens renforcés
Objectif = disposer d’un orchestrateur de la démarche permanente
et dynamique de mise en conformité
=> Possibilité d’externaliser et de mutualiser la fonction !
7
8. Communiquer sur les obligations
anciennes et nouvelles
Sensibiliser l’ensemble du personnel à la règlementation
caractère protéiforme de la notion de « donnée
personnelle », distinction « responsable de traitement »
/ « sous-traitant»
licéité et finalité des traitements / exactitude, pertinence,
proportionnalité, conservation limitée et sécurité des
données
droits des personnes et rôle central du DPO
Objectif = installer une culture « Informatique et Libertés » (vigilance,
réflexes) au sein de la collectivité
=> Renouveler régulièrement les actions de sensibilisation !
8
9. Recenser les traitements et identifier les
zones de risque
S’atteler à l’établissement du registre des traitements
• raisonner par objectif poursuivi et impliquer l’ensemble des
services opérationnels et fonctionnels
• préciser les caractéristiques de chaque traitement
finalité et personnes concernées
données traitées, durée de conservation, destinataires,
éventuels transferts hors UE
mesures de sécurité techniques et organisationnelles
Objectif = connaître et questionner les différentes utilisations faites des
données personnelles
=> Prioriser les actions à mener en fonction des zones de risque !
9
10. Garantir la transparence des traitements
et l’effectivité des droits
Veiller à l’existence, à l’accessibilité et à la complétude des
informations à l’intention des personnes concernées
• importance de la lisibilité des mentions
• enrichissement de leur contenu
Tenir compte du renforcement de leurs droits
• droit d’accès, de rectification, d’opposition et d’effacement
• nouveautés : limitation du traitement et portabilité des données
Objectif = permettre aux personnes de garder la maîtrise de leurs
informations
=> Faciliter autant que possible l’exercice des droits !
10
11. Clarifier les responsabilités pour les
traitements « multi-acteurs »
11
Veiller à la présence des nouvelles clauses obligatoires dans les
contrats conclus avec les sous-traitants
traitement sur instruction documentée et sécurisation des données
soutien du RT dans le respect de ses obligations et mise à
disposition de toutes les informations utiles à son contrôle
« sous-sous-traitance » sous conditions
Mener une réflexion quant à l’existence d’une pluralité de
responsables du traitement pour certaines opérations
détermination conjointe des finalités et moyens du traitement
accord définissant les obligations respectives sans lier les
personnes concernées
12. Recourir aux outils de conformité rendus
obligatoires par le RGPD
12
Réaliser des analyses d’impact (AIPD/PIA)
traitements susceptibles de présenter des risques élevés pour les
droits et libertés
appréciation du respect des principes I&L « non négociables »
évaluation des risques en termes de sécurité des données et des
mesures à prendre pour les traiter de façon adaptée
Notifier certaines violations de données
consignation de toutes les atteintes à la sécurité des données
information de la CNIL et des personnes suivant le niveau de risque
pour celles-ci
nécessité d’anticiper !
14. La CNIL à vos côtés
Nombreuses ressources (guides, modèles, outils, …) disponibles
sur son site internet
Finalisation de la procédure de certification « DPO » et existence
d’un service dédié à l’accompagnement de ces professionnels
Encouragement de la formation et du travail en réseau, en
collaboration avec les têtes de réseaux et le CNFPT
Etablissement des listes « PIA », en cours de validation (CEPD)
Elaboration en cours d’un MOOC « RGPD », d’un « pack de
conformité » open data », de référentiels et fiches pratiques
sectoriels
14