L'écho des gnous #170 face B
Diffusée le 6 mai 2018.
Avec Sébastien et Thomas.
Sujet
La nouvelle RGPD (réglementation générale de la protection des données).
Introduction
On voit sur tous les sites Web un rappel sur la future législation de protection de la vie privée : Kesaco ?
Objectifs
Permettre à l'Europe de s'adapter aux nouvelles réalités du numérique (big data, objets connectés, réseaux sociaux…) ;
modifier significativement les règles en matière de protection des données et de la vie privée.
Contexte
-
La loi du 6 août 2004 : adapte la loi aux évolutions technologiques. La CNIL a un pouvoir de sanction, et la notion de “correspondant à la protection des données personnelles” est crée.
La loi pour une République numérique (dite loi Lemaire), du 7 octobre 2016 : sanctions financières x20 en cas de manquement aux règles. Protection des mineurs. Possibilité de d'organiser les dispositions de conservation de ses données après la mort.
Le règlement européen du 27 avril 2016 dit RGPD et qui rentre en application le 25 mai 2018.
Les cinq piliers de la loi du 6 janvier 2018 (ne changent en rien avec le RGPD)
Le principe de finalité : doit respecter l'objet et l'aspect légal du traitement, ne pas être fait à l'insu des personnes, qui doivent en être informées ;
le principe de pertinence des données : les données sont collectées à des fins déterminées, explicites et légitimes. On ne collecte uniquement que ce qui est nécessaire ;
le principe de conservation limitée des données : on ne conserve les données que durant le temps nécessaire à la réalisation du projet. Au-delà, conservation et archivage ou destruction ;
l'obligation de sécurité : mettre en œuvre toutes les solutions adéquates pour assurer la sécurité des données recueillies ;
le respect des droits des personnes : droit d'information, d'accès et de retrait.
Les changements induits par le RGPD
RGPD applicable à partir du 25 mai 2018 dans tous les pays de l'UE ;
Simplifier les formalités administratives : tout organisme dispose d'un interlocuteur unique auprès des autorités européennes compétentes, le DPO (data protection officer ou délégué à la protection des données). Il s'appuiera sur la CNIL pour l'exercice de ses missions.
Nouveaux outils crées : code de conduite, tenue de registre, notification des failles de sécurité…
Avant le RGPD
Après le RGPD
Les contrôles existeront toujours mais les sanctions seront accrues ;
chaque État pourra disposer de règles spécifiques dans des domaines précis (ex. santé pour l'exploitation du numéro INSEE…) ;
critère d'établissement : le RGPD s'adapte à l'organisme responsable de la finalité mais aussi du ou des sous-traitant(s) CNIL concernée ;
critère de ciblage (zone géographique) : en UE, ou hors-UE si cela vise des personnes situées en UE CNIL concernée ;
transparence des informations et des communications + modalités d'exercice des droits : le responsable du traitement doit prendre toutes les mesures qui s'imposent ;
droit d'accès : obtenir une copie des données conservées (c'était le cas déjà avant);
droit d’effacement des données exigible dans les cas suivants : la personne a retiré son consentement, les données ne sont plus nécessaires à la finalité, la personne a exercé son droit d'opposition et il n'existe aucun motif urgent de conserver le données, ou la collecte de données est illégitime ;
en cas de violation des règles, le responsable doit informer la personne concernée.
https://detroitsoup.com/
Les principes généraux du RGPD
Privacy by design ou respect de la vie privée dès la conception en offrant le plus haut niveau de sécurité pour la conservation des données ;
consentement explicite pour les mineurs au-delà de 16 ans, en dessous c'est l'accord du responsable légal qui fait foi ;
mise en place d'outils de conformité : le DPO, le registre de traitement, réalisation d'analyse d'impact…
Liens
https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
NULL : Nuit Universitaire Ludique Libre
http://null.bidouilleurslibristes.org - abl-ca@univ-lille1.fr
Musique