aller au menu aller au contenu

 

GDPR

Objectifs 

Le Règlement européen 2016/679 du 27 avril 2016, dit "GDPR - General Data Protection Regulation", a pour objectif d'harmoniser et de renforcer la législation européenne sur le stockage, le traitement et la circulation des données à caractère personnelle des personnes physiques. Plus précisément, il vise à :

Principales dispositions

La réglementation GDPR fait référence au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, et à la libre circulation de ces données. Ce règlement abroge la directive 95/46/CE (règlement général sur la protection des données).

Les dispositions du règlement sont applicables au 25 mai 2018. 

Champ d’application

Le règlement s'applique à toute entreprise établie sur le territoire de l'Union européenne qui collecte, traite et stocke des données personnelles dont l'utilisation peut directement ou indirectement permettre d'identifier une personne, ainsi qu'à ses partenaires technologiques et prestataires de logiciels. Il concerne également les sociétés localisées hors de l'Union européenne qui proposent des biens et des 

services ou collectent des données relatives à des citoyens européens.

La réglementation GDPR concerne les personnes physiques, elle porte sur les données des collaborateurs, des clients, des prospects, et sur toutes les autres données à caractère personnel utilisées par l'établissement (sous-traitants, prestataires, visiteurs, etc.). Le présent règlement ne s'applique pas au traitement de données à caractère personnel effectué notamment par une personne physique dans le cadre d'une activité strictement personnelle, ou domestique, ou encore dans le cadre d'une activité qui ne relève pas du champ d'application du droit de l'Union européenne.

Principes généraux

  • Exigences de gouvernance

Principales dispositionsPrécisions
DPD (délégué à la protection des données) ou DPO (Data Protection Officer) obligatoire
  • Un délégué à la protection des données doit être nommé
Conformité continue
  • La conformité au GDPR doit être assurée par des procédures régulières telles que des évaluations de l'impact sur la vie privée
Signalement des fuites de données
  • Les fuites de données doivent être signalées aux autorités compétentes dans les délais impartis
Stabilité des objectifs
  • L'objectif donné lors de la collecte de données doit correspondre aux utilisations ultérieures
Consentement explicite
  • L'utilisation des données personnelles nécessitera d'obtenir et de prouver l'existence d'un consentement explicite de la part du sujet des données


  • Exigences opérationnelles

Principales dispositionsPrécisions
Portabilité des données
  • Les sujets des données ont le droit de demander le transfert de leurs données personnelles vers d'autres entreprises
Effacement des données
  • Les sujets des données ont le droit de demander la suppression définitive des données personnelles
Sécurisation des données
  • Les données personnelles doivent être stockées de manière sécurisée
Traçabilité des données
  • La traçabilité des données personnelles doit être préservée tout au long de leur traitement
Exactitude des données
  • L'exactitude des données personnelles doit faire l'objet d'une gestion de haute qualité

 

  • Données relevant de GDPR

Deux types de données relèvent principalement de GDPR. Il s'agit :

  1. Des données personnelles se rapportant à une personne physique identifiée ou identifiable
    • Etat civil, identité, données d'identification, photos, etc. ;
    • Vie personnelle (habitudes de vie, situation familiale, etc.) ;
    • Informations d'ordre économique et financier (revenus, situation financière, situation fiscale, etc.) ;
    • Données de connexion (adresse IP, logs, etc.) ;
    • Données de localisation (déplacements, données GPS, GSM, etc.) ;
    • Des données personnelles dites "sensibles".
      • Par principe, la collecte et le traitement des données sensibles sont interdits. Cependant, dans la mesure où la finalité du traitement l'exige, l'interdiction peut être levée si les traitements pour lesquels la personne concernée a donné son consentement exprès ou si les traitements sont justifiés par un intérêt public après autorisation de l'autorité nationale compétente (CNIL en France) ou décret en Conseil d'Etat. La collecte et le traitement de ces données doivent être justifiés au cas par cas au regard des objectifs recherchés.
      • Les typologies de données sensibles sont les suivantes :
        • Les données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuse ou philosophiques, l'appartenance syndicale ;
        • Les données génétiques ou biométriques aux fins d'identifier une personne physique de manière unique ;
        • Les données concernant la santé ;
        • Les données concernant la vie sexuelle ou l'orientation sexuelle ;
        • Les données relatives à des condamnations pénales ou infractions ;
        • Le numéro d'identification national unique (NIR pour la France). 

DEFIS ET SOLUTIONS

CACEIS sera en conformité avec le Règlement GDPR afin de garantir la protection des données personnelles traitées dans ses systèmes, que ces données concernent ses clients ou ses salariés.

Pour toute question, n'hésitez pas  à contacter votre responsable commercial habituel.

En savoir plus

Nos revues de Veille réglementaire Décryptage et Scanning publient en français et en anglais les dernières évolutions réglementaires en cours ou à venir. N'hésitez pas à vous y référer.

Dates clés