GDPR signifie General Data Protection Regulation en Anglais soit Règlement Général sur la Protection des Données (RGPD). Le Règlement Général sur la Protection des Données (RGPD) est le texte de référence Européen en matière de protection des données personnelles. Qu'est-ce qu'une donnée personnelle ? Il s'agit de toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Les informations proviennent en partie du site de la CNIL, et sont également disponibles à cette adresse : https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes Attention : ce guide a simplement vocation à faciliter la démarche de conformité au RGPD. Cette conformité reste la responsabilité de votre entreprise.

La désignation d’un délégué est obligatoire pour : • Les autorités ou les organismes publics, • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, • Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions. En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des données est encouragée par les membres du G29. Elle permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles. Les organismes peuvent désigner un délégué interne ou externe à leur structure. Le délégué à la protection des données peut par ailleurs être mutualisé c’est-à-dire désigné pour plusieurs organismes sous certaines conditions. Par exemple, lorsqu’un délégué est désigné pour un groupe d’entreprises, il doit être facilement joignable à partir de chaque lieu d’établissement. Il doit en effet être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle. Vous pouvez désigner votre Délégué à la Protection des Données en ligne sur le site de la CNIL : https://www.cnil.fr/fr/designation-dpo

Tous les traitements impliquant des données personnelles doivent être répertoriés et détaillés. Ce registre des traitements doit non seulement lister les données personnelles qu'ils impliquent, mais également les objectifs qui sont poursuivis par les opérations de traitement, ainsi que les acteurs (internes ou externes) et les flux d'origine et de destination (afin de surveiller le transfert hors Union européenne). Vous pouvez télécharger des exemples de registres (au format PDF ou Excel) sur la page : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

La mise en place du RGPD est l'occasion de vérifier que vous ne traitez que les données strictement nécessaires à la poursuite de vos objectifs. Dans tous les cas, vous devez vérifier la base juridique qui vous donne le droit de traiter ces données : consentement de la personne concernée, intérêt légitime, contrat, obligation légale... Les données traitées doivent être sécurisées. Vous devez prendre toutes les mesures nécessaires à leur protection pour éviter que des tiers non autorisés y aient accès.

Pour chaque traitement, il est recommandé de réaliser une analyse d'impact sur la protection des données, afin de s'assurer de créer un traitement conforme au RGPD et respectueux de la vie privée. Cette analyse devient obligatoire si vos traitements rencontre 2 ou plus des critères suivants : • Evaluation ou notation; • Décision automatisée avec effet juridique ou effet similaire significatif; • Surveillance systématique ; • Données sensibles ou données à caractère hautement personnel ; • Données personnelles traitées à grande échelle ; • Croisement d’ensembles de données ; • Données concernant des personnes vulnérables ; • Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ; • Exclusion du bénéfice d’un droit, d’un service ou contrat. • La CNIL met à disposition un outil téléchargeable afin de faciliter ces études. Vous pouvez le télécharger sur la page : https://www.cnil.fr/fr/gerer-les-risques

La conformité au RGPD est un processus continu. A chaque évènement concernant la vie privée (mise en place d'un nouveau traitement par exemple, mais aussi fuite de données ou demande d'accès de la part d'une personne), votre entreprise doit être prête à appliquer les bonnes pratiques. En particulier : • La protection des données personnelles doit être prise en compte dès la conception d’une application ou d’un traitement. Par exemple, la collecte de données doit être minimisée, la durée de conservation également. • Les collaborateurs doivent être sensibilisés à la valeur des données personnelles, et savoir auprès de qui remonter les informations. • Un processus clair de traitement des réclamations et des demandes des personnes concernées quand à l’exercice de leurs droits doit être mis en place. • Les violation de données doivent être signalées aux personnes dans les meilleurs délais, et dans les 72h à l'autorité de protection des données (CNIL).