WEBINAIRE | Gestion des risques pour les Dispositifs Médicaux : Conformité, traçabilité et sécurité des données – Replay disponible ICI

Actualité

Journée européenne de la protection des données – RGPD

Tous sensibilisés à la protection des données personnelles

Illustration - Journée européenne de la protection des données - RGPD

Sommaire

Samedi 28 janviers 2023 aura lieu la journée de la protection des données. Créée en 2006 par le Conseil de l’Europe, son but est de sensibiliser les utilisateurs à l’importance de la protection de leurs données personnelles. Pour les entreprises c’est l’occasion de faire le point et de veiller à être toujours en conformité avec la loi.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est une information permettant d’identifier une personne physique. Une personne peut être identifiée de plusieurs manières :

  • Directement (nom, prénom)
  • Indirectement (exemples : n° client, numéro de téléphone, photo….)
  • À partir d’une seule donnée (exemples : numéro de sécurité sociale, ADN)
  • À partir du croisement de plusieurs données (exemple : date de naissance + adresse)

L’article 4 du RGPD défini la donnée à caractère personnel ainsi :

“toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;”

Données personnelles vs données sensibles

Souvent confondues, les données sensibles sont une catégorie particulière de données personnelles. Les données sensibles sont plus particulièrement à risque et bénéficient d’un régime juridique de protection renforcé. Le traitement des données sensibles est interdit par le RGPD.

L’article 9 du RGPD définir les données sensibles comme révélant :

  • L’origine raciale ou ethnique,
  • Les opinions politiques,
  • Les convictions religieuses ou philosophiques
  • L’appartenance syndicale,
  • les données génétiques et biométriques aux fins d’identifier une personne physique de manière unique,
  • Des données concernant la santé
  • Des données concernant la vie sexuelle ou l’orientation sexuelle

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données encadre le traitement des données personnelles sur le territoire de l’Union européenne. Entré en application le 25 mai 2018 il harmonise les règles en Europe. Son objectif est double :

  • Protéger et faciliter le droit des utilisateurs
  • Responsabiliser les organisations traitant des données personnelles.

Qui est concerné par le RGPD ?

Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. En effet, le RGPD s’applique à toute organisation, publique et privée :

  • Établie sur le territoire de l’Union européenne,
  • Ou que son activité cible directement des résidents européens.

Les entreprises non européennes ont donc les mêmes obligations dès lors qu’elles proposent des produits ou services aux résidents européens.

Instances réglementaires

En France, la CNIL est l’autorité administrative chargée de veiller à l’application du RGPD. Son homologue européen est le Comité Européen de la protection des données (CEPD).

Rôles de la CNIL

  • Informer les particuliers et les professionnels et protéger les libertés individuelles
  • Accompagner les organismes dans leur mise en conformité avec le RGPD
  • Anticiper les enjeux éthiques des données et innover : la CNIL, aux côté des entreprises, participe à la recherche dans le domaine de la vie privée et des données personnelles.
  • Contrôler les organismes

Bonnes pratiques pour être en conformité avec le RGPD

Si les données personnelles ne sont pas le cœur de votre activité, vous mettre en conformité RGPD reste assez simple. Pour cela suivez les bonnes pratiques suivantes.
Source CNIL

Ne collectez que les données vraiment nécessaires
Les données que vous conservez doivent être strictement nécessaires à l’exercice de votre activité. Ne récoltez aucune donnée “sensible”. Si ce n’est pas le cas c’est l’occasion de faire le tri dans vos données !
Soyez transparent
Les personnes doivent consentir à l’utilisation de leurs données pour que puissiez les utilisez. Cela suppose qu’ils soient clairement informés de la collecte et de l’utilisation de leurs données. Le RGPD impose que le consentement soit “libre, spécifique, éclairé et univoque”. Le consentement “par défaut” n’est donc pas toléré.
Facilitez l'exercice des droits des personnlles
Les individus (clients, prestataires, salariés…) doivent conserver la maîtrise des données qui les concernent. Organisez des modalités permettant aux personnes d’exercer leurs droits et répondre dans les meilleurs délais à ces demandes. Pour les abonnés à votre liste email, par exemple, prévoyant un formulaire de désinscription et de mise à jour accessible facilement.
Fixez des durées de conservation
Vous ne pouvez pas conserver les données indéfiniment. Il convient de définir le cycle de vie de la donnée. Dans la plupart des cas, la durée de conservation des données n’est pas fixée par une règle définie. C’est à l’entreprise de définir une durée pertinente.
Sécurisez les données et identifiez les risques
La sécurité des serveurs doit être une priorité. Limitez les accès et gérer les réseaux wifi. Utilisez des mots de passe sécurisés. Effectuez des mises à jour et sauvegardes régulières. Sécurisez vos sites web. Sécuriser vos archives. Répliquez vos données pour éviter les pertes. En cas de disparition des données, un plan de reprise des activité est à prévoir. Assurez la confidentialité et l’intégrité des données e, cryptant les données.

Contrôles et sanctions de la CNIL

La CNIL peut vérifier auprès des entreprises qui traitent des données personnelles, le bon respect de la loi.

  • Avertissement et Rappel à l’ordre
    Il ne s’agit pas d’une sanction mais d’une mesure correctrice.
  • Injonction sous astreinte : C’est un ordre de se mettre en conformité accompagné d’une somme à payer en cas de non-respect de la décision.
  • Sanction : Amende jusqu’à 20 millions d’euros ou, pour une entreprise, jusqu’à 4% du CA mondial.

Les GAFAM ne sont pas épargnés. En janvier 2022 la CNIL sanctionne GOOGLE à hauteur de 150 millions d’euros et FACEBOOK à hauteur de 60 millions pour non-respect des règles de la gestion des cookies. Leurs procédures ne permettent pas de refuser les cookies aussi facilement que de les accepter.

La sécurité de vos données chez GxpManager

La sécurité de vos données fait partie de l’ADN de la plateforme GxpManager

  • Notre data center souverain est basé en France. Nous avons choisi un hébergeur européen afin de pas exposer nos clients aux risques juridiques et financiers inhérents aux acteurs américains notamment soumis à des lois extra-territoriales telles que le Cloud Act
  • Les mises à jour, les sauvegardes, les restaurations et l’archivage sont automatisés.
  • Vos données sont accessibles en ligne 24h/24
  • L’intégrité de vos données est assurée avec un système d’encryptage des données stockées par chiffrement
  • Disponibilité de vos données : Fourniture d’un PRA (Plan de Reprise des Activités) avec Très haute disponibilité et 3 serveurs redondés