Guide RGPD

La protection des données personnelles en France est désormais encadrée par deux textes :

La loi n° 2018-493 du 20 juin 2018, promulguée le 21 juin 2018, qui modifie la loi Informatique et Libertés du 6 janvier 1978, et qui est à la fois complémentaire et compatible avec le Règlement européen RGPD ;   

Un texte européen, le Règlement Général sur la Protection des Données (RGPD), adopté par le Parlement Européen et le Conseil Européen le 27 avril 2016, et publié au Journal Officiel de l’Union Européenne le 4 mai 2017.

Les pratiques de traitement de données doivent respecter ces deux textes.

Le RGPD est un Règlement et non une Directive : il est donc directement applicable à tous les Etats de l’Union Européenne, sans avoir besoin d’être transcrit dans la loi nationale. L’application du  RGPD par les entreprises, les organismes publics, et notamment les établissements scolaires, est obligatoire depuis le 25 mai 2018. Les établissements scolaires doivent s’y conformer sans attendre.

 

Textes de référence

RGPD : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 : http://eur-lex.europa.eu/legal-conte...

Loi du 20 juin 2018 : https://www.legifrance.gouv.fr/eli/l...

Les pratiques de traitement de données doivent respecter ces deux textes.

Responsabilisation des organismes et établissements

Responsabilité : 
Les formalités préalables (avis, autorisations, …) auprès de la CNIL disparaissent. Il revient désormais aux entreprises et organismes de s’assurer eux-mêmes que les traitements  de  données mis en oeuvre sont conformes à la loi.

Traçabilité (ou Accountability, ou  reddition des traitements) : 
Les entreprises, organismes et établissements publics doivent s’organiser pour être capable à tout moment d’apporter la preuve de la conformité des traitements de données personnelles mis en oeuvre.

Dès lors, les entreprises, organismes et établissements publics doivent dès maintenant s’attacher à respecter les nouvelles obligations définies par le RGPD. 

La conformité au RGPD des traitements de données personnelles peut être attestée par une certification, prononcée par un organisme de certification, ce dernier étant reconnu par l’autorité de régulation (CNIL). 

Afin de démontrer ses bonnes pratiques, une entreprise ou organisme, ou un groupe d’entreprises ou d’organismes,  peut adhérer (et/ou concevoir) à un code de conduite. Ce code de conduite devra être approuvé par l’autorité de régulation. La conformité des traitements à ce code de conduite pourra être évaluée par un organisme de certification.