RGPD Sphinx, notre engagement

Le Règlement Général sur la Protection des Données (RGPD), est entré en vigueur le 25 Mai 2018 et contient les modifications les plus importantes apportées à la législation européenne en matière de protection de la vie privée et de sécurité des données pour les résidents de l’UE au cours des 20 dernières années. Il est conçu pour donner aux citoyens de l’UE un plus grand contrôle sur leurs données en renforçant leurs droitsresponsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants), et enfin crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données. Ainsi, les entreprises amenées à héberger, collecter, traiter et analyser les données personnelles se voient affecter de nouvelles responsabilités au niveau organisationnel, technique et juridique.

 

QU’EST-CE QU’UNE DONNÉE PERSONNELLE EXACTEMENT ?

Les données personnelles sont toutes les informations relatives à une personne physique (la personne concernée) qui peuvent être utilisées, en ligne ou hors ligne, pour identifier directement ou indirectement la personne. Il peut s’agir d’un nom, d’une photo, d’une adresse email, d’un numéro de téléphone, de coordonnées bancaires, d’une adresse postale, d’une donnée de localisation (adresse IP, données GPS…), d’informations médicales, … Il n’y a pas de distinction entre les données personnelles concernant une personne dans ses fonctions privées, publiques ou professionnelles – toutes sont couvertes par la législation. Certaines informations sont en outre classées comme données sensibles. Ce concept concerne les informations relatives à l’origine raciale ou ethnique, aux opinions politiques, aux croyances religieuses, aux activités syndicales, à la santé physique ou mentale, à la vie sexuelle ou aux détails des infractions pénales. L’utilisation de ces données est encadrée encore plus strictement par le règlement. Le traitement de telles données avec les logiciels Sphinx est à réaliser de manière anonyme.

 

LES POINTS CLÉS DU RGPD

Un cadre juridique unifié pour l’ensemble de l’UE

Le texte adopté est un règlement européen, ce qui signifie que, contrairement à une directive, il est directement applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents États membres.

Un renforcement des droits des personnes

Le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données. Le consentement doit être explicite.  Le RGPD permet également de nouveaux droits : portabilité, droit à l’oubli, limitation du traitement, recours juridictionnel, protection des mineurs, droit à réparation.

Une conformité basée sur la transparence et la responsabilisation

Les entités doivent mettre en place des programmes de conformité. Elles peuvent recourir à des mécanismes de certification ou d’adhésion à des codes de conduite (accountability/contrôle de la conformité). Les entités doivent mettre en œuvre des mesures de protection des données dès la conception ainsi que lors des activités de traitement en limitant l’étendue des données traitées au minimum, par défaut (Privacy by design/by default). Pour tous les traitements à risque, le responsable de traitement doit conduire une étude d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées (PIA).  Les responsables de traitement doit déclarer aux autorités les violations de sécurité sous 72 heures. L’information aux personnes concernées s’impose en cas de risques élevés pour leurs droits.

Des responsabilités partagées et précisées

Le règlement européen consacre une logique de responsabilisation de tous les acteurs des traitements de données, dès lors qu’elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’UE. Il impose des obligations spécifiques aux sous-traitants (Sphinx) qui doivent notamment aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements. Le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière de contrôle de conformité. Il a notamment une obligation de conseil auprès du responsable de traitement pour la conformité à certaines obligations du règlement (PIA, vulnérabilité, sécurité, destruction des données, contribution aux audits).

Le cadre des transferts hors de l’Union mis à jour

Les responsables de traitement et les sous–traitants peuvent transférer des données hors UE seulement s’ils encadrent ces transferts avec des outils assurant un niveau de protection suffisant et appropriés des personnes. Et ces données transférées hors Union restent soumises au droit de l’Union pour tout traitement et transfert ultérieur.

Des sanctions encadrées, graduées et renforcées

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement. Pour en savoir plus : https://www.cnil.fr/fr/comprendre-le-rgpd

 

SPHINX CONFORME AU RGPD !

Chez Sphinx, nous avons fait des données personnelles et de la sécurité des données une priorité, et nous avons consacré des ressources importantes pour être conforme au RGPD. Voici quelques-unes des actions que nous avons entreprises afin d’être en conformité :

 

RESSOURCES

Le texte du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) est publié sur le site de la CNIL et le site de l’Union Européenne. Comprendre le règlement européen sur le site de CNIL

Haut de la page

Vous avez un projet

Vous avez un projet d'audit ou d'analyse ? Ne vous lancez pas seul, nos équipes sont à votre écoute pour vous accompagner.