RGPD

Tous

1 Qu’est ce que le RGPD ?
2 Quelles sont les mesures imposées ?
3 Quelles sont les mesures de sécurité ?
4 Que faire en cas de fuite de données ?

Pourquoi un Règlement Général pour la Protection des Données ?

Le RGPD est complètement effectif à partir du 25 mai 2018.

Il consacre le respect individuel du droit à la vie privée et concerne tous les acteurs d'une organisation.

Lorsque vous concevez un projet, prenez donc toujours contact avec le Délégué à la Protection des Données. Il sera votre guide pour s'assurer que les dispositions du RGPD sont respectées.

Qu’est ce que le RGPD ?

Le RGPD ou plus précisément le Règlement 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données sera complètement effectif à partir du 25 mai 2018.

C'est un outil qui permet de garantir le respect de l'article 8 de Charte des droits fondamentaux de l’Union européenne.

A savoir que :

Toute personne a droit à la protection des données à caractère personnel la concernant.

Par exemple un nom, une adresse, un numéro de téléphone, …

Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant, d'en obtenir la rectification ou l'effacement et de s'opposer à leur traitement.
Le respect de ces règles est soumis au contrôle d'une autorité indépendante.

Le RGPD précise ainsi que les données collectées doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire.

Elles doivent être tenues à jour et ne peuvent pas être conservées plus longtemps que nécessaire.

Traitement des données

Quant au traitement, il doit être licite, loyal, transparent et pour des finalités déterminées.

Le traitement doit aussi garantir une sécurité appropriée, entre autres l'intégrité et la confidentialité, pour les données traitées.

Registre des activités de traitement

Par ailleurs, l'institution est tenue de maintenir un registre des activités de traitement.

Celui-ci reprend, pour chaque traitement, son responsable, les données collectées, leurs finalités, ainsi que la documentation des mesures de sécurité mises en place.

Le DPD - Délégué à la Protection des Données

L'institution dispose maintenant d'un DPD qui est, entre autres, chargé d’informer et de conseiller le responsable de traitement et de contrôler le respect de la réglementation. C'est le chef d'orchestre, garant de la conformité au RGPD.

Quelles sont les mesures imposées ?

Le RGPD impose de prendre des mesures de sécurité dans un modèle dit de « privacy by design » dès la conception du projet.

Dans ce modèle :

les mesures sont proactives et non plus réactives
les mesures sont préventives et non plus correctives
la protection implicite de la vie privée est assurée
la sécurité de bout en bout, y compris jusqu'à la sous-traitance, est consolidée
la visibilité et la transparence sont garanties

Pour chaque projet, qu'il concerne l'informatique ou non :

Il faut prendre contact avec le DPD de l’université afin de s'assurer du respect du RGPD. Le DPD, souvent en étroite collaboration avec le responsable de la sécurité du système d'informatique (RSSI), doit s'assurer de la meilleure sécurité des données et de leur traitement. Ils s'appuient sur la politique de sécurité de l'institution ainsi que des codes de conduite pour proposer des mesures techniques et organisationnelles.

Si nécessaire et si le traitement présente un risque élevé, ils effectueront une analyse d'impact.

Ils effectueront des certifications afin de démontrer que le traitement respecte bien le RGPD et veilleront à la bonne tenue du registre des activités de traitement.

Quelles sont les mesures de sécurité ?

Il n'y a pas de « solution toute faite » ou de « recette miracle » pour sécuriser un projet au sens du RGPD.

Mais de manière générale, l'ensemble des conseils et bonnes pratiques sont des points d'attention techniques, organisationnels ou même comportementaux pour assurer la sécurité, dans le meilleur état de l'art, des données et de leur traitement.

Que faire en cas de fuite de données ?

Le RGPD prévoit une autorité de contrôle ; en Belgique, ce sera la Commission pour la Protection de la Vie Privée (CPVP).

De même si le RGPD venait à être violé, par exemple si un projet a été développé sans prendre les mesures de sécurité adéquates, la CPVP pourrait infliger des sanctions.

Les sanctions consistent en des amendes administratives pouvant aller par exemple jusqu'à 4 % du chiffre d'affaire de l'institution.

Pour vous aider

→ Le guide en anglais