Quelles données personnelles pour le RGPD ?

Cette fois c'est sûr, votre entreprise est sujette au règlement européen sur la protection des donnée ! Concernée certes, mais pour quel type de données à caractère personnel ?

Pour qualifier les données personnelles, la nouvelle réglementation européenne a repris la définition déjà existante de la Directive 95/46/CE.  

Il est utile de faire un rappel sur les différentes natures de données existantes, en conséquence la fiche suivante reprendra les principales informations à connaitre pour aborder avec confiance la réglementation.

Et si vous voulez vous assurer d'avoir bien appréhendé la notion de données identifiées, identifiables ou sensibles , vous pouvez tester vos connaissances en effectuant le quizz associé.

Avec cette nouvelle réglementation, il y a deux principes fondamentaux:

1) les données en possession doivent être limitées au minimum nécessaire pour la finalité du traitement.

C'est le principe de minimisation des données. L’idée est de ne gérer que les données à caractère personnel indispensables à la marche et au développement de l'entreprise. Dans votre projet de conformité au RGPD, pour chaque donnée à caractère personnel il faudra se poser la question : quel traitement est fait de cette donnée, quelle valeur nous apporte cette information ?

2) le niveau de protection des données doit être proportionnel à leur sensibilité.

Dans le cas d'une violation de sécurité entraînant notamment la divulgation non autorisée de données à caractère personnel, plus la gravité des dommages ou préjudices potentiels causés sur les libertés et les droits fondamentaux des personnes concernées sera importante, plus l’Autorité Nationale de Protection des Données (en France la CNIL) va considérer que les mesures de sécurité n’étaient pas à la hauteur de l'enjeu, et donc plus le montant de l'amende sera élevé.

RGPD - Données à caractère personnel - Quizz

Les commerciaux de l'entreprise ont accès via leurs propres mobiles aux données à caractère personnel des clients et prospects de l'entreprise, notamment : le nom et prénom d'un contact, une adresse postale, une adresse de messagerie électronique, le genre, le statut marital et la date d'anniversaire.

Question 1:

Ces données sont-elles des données sensibles ?

Question 2:

Lors d'une discussion informelle sur le RGPD entre IT et Marketing, autour d'un café, il apparaît qu'aujourd'hui c'est au bon vouloir des commerciaux de souhaiter un joyeux anniversaire à leur contact. Et personne ne sait dire à quoi sert vraiment l'information "genre". La personne de l'IT propose de supprimer purement et simplement ces données. Est-ce judicieux ?

Question 3:

Les données à caractère personnel concernant les clients et les prospects sont dans le nuage, en mode SaaS. L'entreprise considère que c'est au fournisseur de service de s'assurer de la sécurité et de la protection de ses données. Est-ce suffisant ?

Vous trouverez les réponses à vos questions ici.

Vous pouvez aussi consulter :
Préambule au Règlement Général sur la Protection des Données
Le RGPD et son Champ d'Application

Suite

Règlement Général sur la Protection des Données : Ce qu'il faut savoir

Le RGPD poursuit sur la route déjà tracée par la directive 95/46/EC en renforçant les droits des personnes concernées, en les adaptant plus à l'ère digitale dans laquelle nous viv(r)ons !

L'Union Européenne dans ses frontières vise à la libre-circulation des hommes, des produits, des capitaux... et des données !

Mais pas à n'importe quel prix ! Consciente que la transformation numérique nécessite une confiance accrue des différents acteurs, et notamment des consommateurs, lucide sur les menaces toujours plus grandes de cyberattaques contre les entreprises, l'Union Européenne a décidé :

1. d’uniformiser les droits liés à la protection de données à caractère personnel pour tous les résidents de l'Union Européenne  
2. de promouvoir le renforcement de la sécurité des entreprises commerciales et professionnelles. 

Pour ce faire, elle a édicté un règlement général applicable à tous les Etats de l'Union, fondé sur des valeurs communes, et garantissant les mêmes droits pour ceux qui y résident, même temporairement.

Le règlement oblige dorénavant non-seulement le responsable du traitement de données mais aussi son sous-traitant à mettre en place les mesures nécessaires qui garantissent la protection des données des personnes concernées, tout en leur permettant d'exercer leurs (nouveaux) droits.

Et pour que ce règlement soit appliqué, l'union Européenne a assorti son texte de contraintes financières importantes en cas de non-respect des règles.

RGPD - Table des matières

Le règlement contient 99 articles. Lesquels sont précédés de "considérant"  au nombre de 173 , qui apportent un éclairage bien utile aux différents articles (sans compter les travaux du WP29). Par exemple, si tout le monde crie sur les toits que le 25 mai 2018 est une date couperet, qui a lu le "considérant 171" qui stipule que "[...] les traitements déjà en cours à la date d’application du présent règlement devraient être mis en conformité avec celui-ci dans un délai de deux ans après son entrée en vigueur. [...]" ?

C'est pourquoi les principaux termes de la Réglementation vous seront illustrés régulièrement au moyen d'une fiche permettant de mieux comprendre le qui et le quoi, le comment et le pourquoi...

En espérant que cet éclairage vous aidera au mieux dans la préparation de cette évolution vers plus de respect pour la protection des données à caractère personnel.

Préambule
Champ d'application
Données à caractère personnel

Champ d'application : 1-NON   2-OUI   3-NON
Données à caractère personnel 1-NON 2-NON 3-NON

Suite

Le RGPD et son champ d'application

Votre entreprise est-elle concernée par le règlement européen sur la protection des données ?

Cela parait assez facile de répondre à cette question, car il semble qu'aujourd'hui tout le monde soit concerné par ce fameux RGPD ! Mais si cela est vrai, encore faut-il bien comprendre à quel titre. La fiche suivante détaille les principales informations à connaitre pour aborder la réglementation en toute connaissance de cause et répondre de manière définitive à cette question. 

Et si vous voulez vous assurer d'avoir bien appréhendé la notion d'application , vous pouvez tester vos connaissances en effectuant le quizz associé. 

A la lecture de la fiche, on se rend compte que le champ d'application de la réglementation est vaste. On y trouve un principe d'extra-territorialité assez unique puisque sont concernés les traitements effectués à la fois par des entreprises installées sur le territoire d'un état membre de l'Union Européenne, mais aussi ceux exécutés par des sociétés non établies en Europe mais qui recueillent des données depuis le territoire européen.

Il n'y a donc pas de notion de citoyenneté ou de nationalité des individus, seule compte la localisation des données. C'est donc plutôt pratique pour cibler les entreprises étrangères qui sans avoir un pied dans l'Union Européenne visent pourtant bien le marché européen.

RGPD - Champ d'Application - Quizz

Question 1: 

Un voyageur américain en déplacement sur le sol français consulte son site web préféré aux Etats-Unis puis achète en ligne des livres à livrer à son domicile américain. L'entreprise librairie est-elle concernée par le règlement ?

Question 2:

Un voyageur américain en voyage dans un pays de l'Union Européenne réserve sa voiture depuis le site internet d'une agence américaine de location de voiture. L'agence est-elle concernée par le règlement ?

Question 3:

Un consommateur européen en voyage aux Etats-unis réserve sa voiture sur place au comptoir d'une agence de location. L'agence de location est-elle concernée par le règlement ?

Vous trouverez les réponses à vos questions ici.

Vous pouvez aussi consulter :
Préambule au Règlement Général sur la Protection des Données

Suite