Les Articles du RGPD en Français simple

RGPD

Vous voulez juste répondre à la question : “Que dois-je faire pour le RGPD ?”

Vous avez peut-être parcouru quelques jeux-questionnaires en ligne pour vérifier votre état de préparation du RGPD ou vous avez écrémé un article qui contenait de vagues suggestions.

Vous avez peut-être même tenté de lire le texte source du Parlement européen sur le Règlement Général relatif à la Protection des Données 4.5.2016 L 119/1 pour constater que le système nerveux humain a été conçu pour rejeter violemment l’exposition à un jargon juridique aussi dense.

C’est pourquoi nous avons traduit chaque chapitre et chaque article du RGPD en quelque chose qu’une personne pourrait raisonnablement comprendre et mettre en œuvre.
Si vous avez besoin d’une aide immédiate pour vous conformer à la réglementation du RGPD, demandez une démonstration en face à face sur la façon dont Varonis peut vous aider.

Commencez ci-dessous :

Chapitre 1 – Dispositions générales du GDPR

Article 1 – À qui le GDPR s’applique-t-il ?

Ce que dit le texte

Les données des citoyens européens sont désormais protégées par différents dispositifs. Si votre organisation a en sa possession des données à caractère personnel concernant des citoyens européens, alors le GDPR vous concerne.

Vous devez donc

Si vous êtes dans l’UE, lisez le reste de ce document et commencez à travailler à vos processus de protection des données.

Vous êtes dans une autre partie du monde ? Oui, le GDPR vous concernera aussi

Vous ne me croyez pas ? Outre les réglementations, le GDPR constitue une approche très pratique de la gestion des différents aspects de la sécurité des données.

Même si vous êtes convaincus que vous n’avez pas l’obligation de le respecter, il n’en reste pas moins que vous devez protéger les données de vos utilisateurs et que la mise en œuvre des dispositions du GDPR vous aidera à faire des progrès à ce niveau.

Article 2 – Quelles sont les données concernées par le GDPR ?

Ce que dit le texte

Il concerne tout fichier ou base de données contenant le nom d’une personne ou une donnée d’identification.

Vous devez donc

Commencez à répertorier tous les dépôts de données utilisés dans votre entreprise par les services marketing, de recherche, de relation client, assistance, etc.

Présentation du GDPR

Article 3 – Quels sont les pays concernés par le GDPR ?

Ce que dit le texte

Peu importe le pays où se trouve le disque dur contenant les données : si elles concernent un citoyen européen, le GDPR est applicable.

Vous devez donc

Déterminez où se trouvent vos données et dans quels pays vos ventes ont lieu. Votre appli mobile (même la version gratuite) est-elle disponible sur les marchés européens ? Un employé a-t-il passé une publicité à 20 $ proposant une version d’essai dans un pays de l’UE ?

En savoir plus sur la portée territoriale du GDPR

Article 4 – Que signifient ces nouveaux termes que nous avons inventés ?

Ce que dit le texte

Données à caractère personnel – tout élément pouvant être utilisé pour identifier une personne au sein d’un groupe. Cela comprend certainement bien plus de choses que vous ne l’imaginez puisque les auteurs du GDPR considèrent les combinaisons de données comme personnelles. Par exemple, même si le fait d’être gaucher ne permettra pas nécessairement de vous identifier, être un homme gaucher gagnant entre 30 000 et 60 000 € et vivant dans le village de Neung-sur-Beuvron pourrait bien permettre de le faire.

Profilage – le fait d’obtenir des informations sur les préférences ou goûts d’une personne. Permet principalement de prévoir les comportements et actions futures.

Responsable du traitement – si vous lisez ceci, c’est très probablement vous. Ce terme désigne toute personne décidant quoi faire des données collectées. Si c’est votre site Web qui utilise des services de commercialisation ou d’analyse, vous êtes responsable du traitement.

Sous-traitant – c’est généralement l’entreprise à laquelle le responsable du traitement demande d’utiliser les données dans un objectif quelconque. Si vous utilisez Google Analytics pour votre site Web, Google est le sous-traitant étant donné qu’il agit selon vos instructions.

Vous devez donc

Commencez à dresser la liste de toutes les entités extérieures auxquelles vous faites appel à des fins analytiques et commerciales ou dans le cadre de toute autre opération de votre entreprise. Remarque : l’humain aimant stocker ses informations de manière numérique, n’oubliez pas de prendre en compte des services tels que Box, Dropbox, GDrive ou les systèmes de stockage sur site puisqu’ils contiendront indubitablement des fichiers tels que : « Top 10 des problèmes d’assistance les plus courants en 2015 » qui seront bourrés de noms et données d’identification.

Vous souhaiterez aussi procéder au suivi de tout service externe utilisé sur votre site Web, votre hébergeur Web, etc. Il serait dommage que vous vous donniez tout ce mal pour découvrir que les sauvegardes de votre site sont conservées sur un boîtier Pentium accessible par Internet et stocké sous le bureau d’un employé.

La façon dont Paypal a listé la catégorie, la tierce partie concernée, l’objet et les données divulguées à chaque partenaire en est une illustration pertinente : Liste des tierces parties de Paypal

Chapitre 2 – Comment mettre en œuvre le GDPR

Article 5 – Comment gérer les données personnelles

Ce que dit le texte

Les données à caractère personnel doivent rester :

– Exactes et à jour

– Protégées

– Transparentes au niveau de leur utilisation

– Limitées au minimum nécessaire à l’opération

Vous devez donc

  • Passez en revue ce que vous faites de toutes les données collectées- Déterminez où vous les avez reçues- Demandez l’autorisation de les utiliser- Mettez en place un plan de suppression des données obsolètes ou périmées

    Concernant les fichiers non structurés périmés, envisagez d’utiliser une application automatisée telle que Data Transport Engine pour purger en continu les données dangereuses.

Article 6 – Vous devez obtenir un consentement de la personne concernée par les données

Ce que dit le texte

Indiquez ce que vous allez faire de ces données. Limitez-vous à ce que vous avez indiqué, ne faites rien d’autre avec ces données.

Vous devez donc

Sensibilisez tout votre personnel à ce qu’il peut faire ou non avec les données recueillies.

Désignez une personne à contacter et la procédure à suivre en cas de détection d’une violation.

Article 7 – Comment prouver que vous avez obtenu le consentement de la personne concernée

Ce que dit le texte

– Soyez en mesure de prouver que vous avez obtenu le consentement de la personne concernée par les données

– Ne perdez pas les infos de consentement et d’utilisation

– Utilisez un langage clair et soyez précis

– N’utilisez en aucun cas les données pour des opérations pour lesquelles les personnes concernées n’ont pas donné leur consentement

Vous devez donc

  • Actualisez tout bulletin d’information ou formulaire de contact en y faisant figurer les informations de consentement et fournissez des liens vers votre Politique de confidentialité et vos Termes de service- Mettez en place une documentation interne reliant les données à ce qui a été autorisé.- Soyez prêt à prouver que vous possédez le consentement des personnes concernées pour les données collectées

Article 8 – Les enfants ne peuvent pas donner leur consentement

Ce que dit le texte

– Seules les personnes de plus de 16 ans peuvent donner leur consentement

– Les personnes de moins de 16 ans devront fournir le consentement de leur parent ou tuteur

– Le champ « indiquez votre date de naissance » figurant sur les bandes annonce de films pour adultes ne fera probablement pas l’affaire.

Vous devez donc

Ajoutez des filtres pour tenir les enfants éloignés et ne procédez pas au suivi des utilisateurs tant qu’ils n’ont pas donné leur consentement

Article 9 – Quels sont les types de données considérés comme les plus sensibles ?

Ce que dit le texte

À moins qu’une autre loi ne l’exige (emploi ou immobilier), ne collectez aucune donnée sur la race, les convictions politiques, la religion, l’adhésion à un syndicat, la santé, la vie sexuelle ou l’orientation sexuelle.

Vous devez donc

Examinez les données dont vous disposez actuellement et assurez-vous qu’elles n’appartiennent à aucune de ces catégories et/ou que ces informations ne pourraient pas être déduites à partir des données que vous contrôlez.

Il est également important de prendre en compte des champs de données d’apparence anodine tels que « hobbies » et ce qu’ils pourraient révéler sur une personne.

Article 10 – Comment traiter les données pénales

Ce que dit le texte

À moins que vous ne travailliez pour une organisation juridique, vous ne devez pas conserver de données sur les condamnations ou délits commis par une personne.

Vous devez donc

Si vous êtes un de ces sites de « vérification de casier judiciaire en ligne », vous devrez probablement vous résoudre à fermer et à ouvrir une boutique Etsy vendant des posters de chanteurs.

Article 11 – Comment traiter les données ne nécessitant pas d’identification

Ce que dit le texte

Si vous pouvez déclarer en toute bonne foi que vous ne pouvez pas identifier une personne à partir des interactions, vous pouvez le signaler et ne pas effectuer de suivi.

Vous devez donc

Prenons le cas d’une boîte mise à disposition dans un supermarché, dans laquelle les clients peuvent déposer leur avis.

Il s’agit de données. Elles sont collectées. Mais il n’existe aucun lien avec d’autres sources ou moyens d’identification, alors vous pouvez vous passer de consentement.

Chapitre 3 – Droits des individus concernant les données

Section 1 – Ne compliquez pas les choses

Article 12 – Faites preuve de transparence concernant votre utilisation des données

Ce que dit le texte

Soyez honnête avec les gens, utilisez un langage clair pour décrire ce que vous faites avec leurs données au moment où vous les collectez.

Si des personnes vous demandent quelles données vous possédez sur elles, ne mettez pas plus de 30 jours (à compter du dépôt de la demande) pour répondre.

Si des personnes commencent à vous troller en effectuant un nombre démesuré de demandes, ou agissent de manière abusive, vous pouvez rejeter leur demande (dans les limites du raisonnable) ou leur réclamer une somme modeste en contrepartie.

Si vous suspectez une personne de monter une arnaque en déposant une fausse demande pour le compte d’une personne légitime, vous pouvez lui demander de prouver son identité d’une autre façon.

Fournir des informations au moyen d’icônes normalisées peut être une bonne solution pourvu qu’elles soient lisibles par machine.

Vous devez donc

Faites relire tout document que vous rédigez par une personne sans expérience technique (ou un relecteur professionnel) pour vous assurer que le contenu est clair.

Vous pouvez aussi le vérifier à l’aide d’un outil tel que BlaBlaMeter ou l’Outil de détection marketing WhiterRhino

Mettez en place une procédure pour traiter les demandes de suppression ou correction des données à caractère personnel (tenez compte du délai de 30 jours).

Section 2 – Ce que vous devez dire aux gens sur votre activité

Article 13 – Lorsque vous recueillez des données auprès des individus, veillez à leur fournir les informations suivantes

Ce que dit le texte

Dans vos formulaires en ligne (ou toute page sur laquelle vous collectez des données auprès des utilisateurs), indiquez :

– Coordonnées de l’entreprise (et dans l’idéal, celles du Délégué à la Protection des Données)

– Expliquez à quoi les données vont servir

– Précisez à quelles catégories appartiennent les données que vous collectez

– Combien de temps vous allez conserver les données

– Comment vous contacter en cas de problème ou pour supprimer les données

– Indiquez si les données vont servir à du profilage et la logique générale utilisée.

– Vous n’avez à effectuer ceci qu’une seule fois. Si les personnes remplissent un second formulaire 30 secondes après le premier, vous pouvez partir du principe qu’elles n’ont pas encore tout oublié.

Vous devez donc

Fournissez des liens vers votre Politique de confidentialité, vos Termes de service et votre page de communication sur le GDPR (qui devraient contenir la plupart de ces points) sur chaque point d’accès à un formulaire.

Voici quelques exemples pertinents de pages de communication sur le GDPR :

HotJar

Facebook

Article 14 – Vous devez dire ce que vous faites même si vous ne collectez pas de données à caractère personnel

Ce que dit le texte

Fournissez toutes les informations ci-dessus même si vous ne recueillez pas d’informations à caractère personnel.

Vous devez donc

Voir ci-dessus

Article 15 – Quels sont les droits des individus concernant leurs propres données

Ce que dit le texte

– Les personnes sont autorisées à vous demander si vous détenez leurs données et vous devez leur répondre que ce soit le cas ou non.

– Si leurs données personnelles sont en votre possession, vous devez les leur fournir sur demande en précisant :

– Pourquoi vous les détenez

– Quelles catégories de données personnelles vous possédez

– Qui y a accédé dans votre organisation ou une entreprise tierce partie (en particulier si ces personnes sont dans un autre pays)

– Combien de temps vous prévoyez de conserver leurs données

– Qu’elles peuvent demander la suppression ou la rectification de leurs données

– Auprès de quelle source les données ont été obtenues

– Qu’elles ont le droit de présenter une réclamation à la Commission de l’UE si votre réponse ne leur donne pas satisfaction.

– À moins que quelque chose vous paraisse étrange, fournissez les données par voie électronique

– Au cours de l’opération, ne divulguez pas les données d’autres personnes

Vous devez donc

Soyez en mesure de répondre aux questions indiquées ici concernant les données que vous détenez. En particulier, vous devez connaître leur source, depuis combien de temps vous les détenez, la marche à suivre en cas de problème ou d’erreurs ou si les personnes veulent faire supprimer leurs données.

Si ce n’est pas déjà fait, prenez un client actuel et faites comme s’il vous avait envoyé la lettre de vos pires cauchemars dans laquelle il fait jouer la totalité de ses droits stipulés dans le GDPR.

Section 3 – Rectification et effacement des données

Article 16 – Les personnes peuvent vous demander de rectifier leurs données

Ce que dit le texte

Si une personne a trouvé un problème dans les données qui la concernent, vous devez le résoudre.

Vous devez donc

Mettez en place une procédure de traitement des demandes de mise à jour des informations.

Article 17 – Les personnes peuvent vous demander de supprimer leurs données

Ce que dit le texte

Dans tous les cas suivants, vous devez pouvoir supprimer leurs données de votre système « dans un délai raisonnable », ce qui veut probablement dire en fait sous 30 jours.

– Elles retirent leur consentement et vous n’avez aucun motif juridique de conserver les informations

– Les données ont fait l’objet d’un traitement illégal (utilisation non prévue initialement)

Vous devez donc

Mettez en place une procédure de traitement des demandes de suppression.

C’est généralement ce que l’on appelle Le droit à l’oubli

Article 18 – Les personnes peuvent vous demander d’arrêter d’utiliser leurs données

Ce que dit le texte

Les personnes peuvent demander que vous conserviez leurs données sans les utiliser, si cela se justifie dans le cadre d’une poursuite en justice ou jusqu’à ce que la situation soit éclaircie.

Le concept est le même que lorsque l’on arrête les travaux sur un chantier. Personne ne vous demande de reboucher les fondations ou de retirer les piliers, mais vous ne pouvez pas continuer à poser des planchers ou à procéder au câblage électrique.

Vous devez donc

Mettez en place une procédure de traitement des demandes d’arrêt (interruption) d’utilisation des informations.

Article 19 – Si vous procédez à des rectifications groupées des données des personnes, vous devez les en informer

Ce que dit le texte

Si vous effectuez des rectifications, suppressions ou limitations (interruption du traitement) en masse, sur les données d’un utilisateur, vous devez le lui dire.

Vous devez donc

Faites attention aux scénarios qui déboucheraient sur une telle situation et exigeraient un préavis. Par exemple, si une personne a trouvé un problème dans votre collecte des données et que vous devez le corriger dans toutes vos données, vous devrez en informer toutes les personnes concernées.

Article 20 – Les personnes peuvent demander que leurs données soient exportées dans un format pratique

Ce que dit le texte

Les personnes peuvent vous demander les données que vous possédez sur elles

Les données doivent être lisibles sur un ordinateur (CSV, XLS, XML, JSON).

Elles doivent être structurées, et l’ensemble du processus doit si possible être automatisé.

Vous devez donc

Commencez à travailler à des fonctionnalités d’exportation des données afin d’extraire toutes les données associées à un utilisateur de votre système dans un format exportable.

Vous devez traiter les données non structurées ainsi que les données conservées dans les bases de données.

Comment trouver les données concernées par le GDPR dans Word, Excel, Exchange et Sharepoint

Section 4 – Les personnes peuvent réclamer une intervention humaine dans les décisions automatiques et exprimer leur opposition au profilage

Article 21 – Les personnes peuvent refuser que leur profil soit établi ou de recevoir des informations filtrées

Ce que dit le texte

Les personnes peuvent exprimer leur refus de faire l’objet d’un « profilage » visant à cibler les contenus qui leur sont présentés.

Vous devez donc

Mettez en place un système de refus pour arrêter la publicité ciblée, le profilage, etc.

Article 22 – Les personnes peuvent demander qu’un humain prenne les décisions les concernant

Ce que dit le texte

Les personnes peuvent refuser les décisions totalement automatiques les concernant.

Vous devez donc

Mettez en place un système de vérification manuelle des processus automatisés et notifications

Section 5 – Limitations

Article 23 – Situations où le GDPR n’est pas applicable

Ce que dit le texte

Chaque pays peut voter des lois modifiant ces réglementations dans quelques cas, notamment lorsque cela concerne la sécurité nationale, etc.

Vous devez donc

Ceci ne vous concerne probablement pas si vous n’êtes pas Ministre de la défense ou Directeur de la lutte contre le terrorisme

Chapitre 4 – Responsable du traitement et sous-traitant

Section 1 – Ce que vous devez faire

Article 24 – Ce que les responsables du traitement doivent faire

Ce que dit le texte

Vous devez documenter ce que vous faites pour respecter le GDPR et être en mesure de le prouver lorsque ce n’est pas immédiatement évident.

Vous devez donc

Conservez un registre des formations, procédures, mesures, etc. mises en place dans le cadre du GDPR.

Article 25 – Tenez compte de la protection et de la sécurité des données avant de lancer un projet

Ce que dit le texte

Vous ne devez pas collecter plus de données que nécessaire, et vous devez pseudonymiser les données que vous recueillez.

Vous devez donc

Sensibilisez vos équipes à la confidentialité et protection des données dès la conception.

Consultez le Récapitulatif sur la confidentialité dès la conception

et l’article La pseudonymisation comme alternative au chiffrement

Article 26 – Comment gérer le partage de données

Ce que dit le texte

Si vous partagez vos données avec une autre organisation, vous devez convenir ensemble des responsabilités de chacun.

Vous devez donc

Mettez vos accords de partage de données par écrit et définissez clairement les responsabilités.

Article 27 – Devez-vous faire appel aux services d’une personne vivant dans l’UE ?

Ce que dit le texte

Si vous collectez régulièrement des données (et c’est une obligation si vous traitez des données judiciaires ou appartenant à une catégorie spécifique), vous devez désigner une personne en UE qui vous représentera.

Vous devez donc

Faites appel aux services d’une personne résidant dans un pays de l’UE.

Article 28 – Ce que les sous-traitants doivent faire

Ce que dit le texte

Les services (sous-traitants) que vous (en tant que responsable du traitement) utilisez doivent être conformes au GDPR.

Eux non plus ne sont pas autorisés à placer des données à caractère personnel dans un datacenter situé hors UE ou à les transférer à toute autre tierce partie si vous ne le leur avez pas demandé.

Vous devez donc

Vérifiez que tous les services que vous utilisez respectent le GDPR.

En principe, la plupart des services ont maintenant une page Web indiquant leur statut de conformité au GDPR. Sur votre propre page de conformité au GDPR, vous devez fournir la liste de ces services ainsi qu’un lien vers leur page.

Article 29 – Les sous-traitants peuvent uniquement faire ce qu’ils ont accepté de faire avec les données.

Ce que dit le texte

Les services qui se sont vus confier des données personnelles à des fins de traitement doivent seulement les utiliser conformément aux instructions qu’ils ont reçues.

Vous devez donc

Si vous n’êtes pas sous-traitant, ceci ne vous concerne pas. Si vous êtes sous-traitant, abstenez-vous de vous lancer dans une analyse spéculative des clients, de vendre les données à d’autres fins, etc.

Article 30 – Vous devez savoir en permanence ce que vous faites des données

Ce que dit le texte

Vous devez savoir ce que deviennent les données à caractère personnel dans votre organisation et dans tout service les utilisant. Vous devez notamment savoir à quoi elles servent.

Si vous avez moins de 250 employés, et collectez pas de données tous les jours et ne traitez pas de données judiciaires ou appartenant à des catégories spéciales, vous n’avez pas à le faire.

Vous devez donc

Tenez à jour une liste de chaque service (sous-traitant) que vous utilisez et de leurs coordonnées.

Article 31 – Vous devez coopérer si une autorité vous le demande

Ce que dit le texte

Si l’autorité de contrôle de votre pays demande à voir ce que vous faites pour respecter le GDPR, vous devez le lui montrer.

Vous devez donc

Prenez soin de documenter toutes les étapes que vous avez suivies pour respecter le GDPR.

Plus important encore, vous devez traiter avec sérieux les réclamations des personnes concernant leurs données, car elles pourraient donner lieu à des amendes et enquêtes.

Section 2 – Sécurité des données

Article 32 – Voilà le minimum que vous devez faire pour que vos données restent protégées

Ce que dit le texte

Vous devez veiller à ce que vos données restent protégées.

– Chiffrées au repos

– Capacité de restauration/reprise après sinistre

– Tests réguliers pour identifier les problèmes de sécurité

– Prise en compte attentive des violations de données et de leur conséquences

Vous devez donc

Mise en œuvre de méthodes de sécurité modernes.

– Stockage sécurisé des données

– Vérification des habilitations

– Plans en cas de violations de données

Article 33 – En cas de violation de données, vous devez en avertir l’autorité de contrôle

Ce que dit le texte

À partir du moment où vous avez connaissance d’une violation de données (perte du contrôle des données), vous avez 72 heures pour le signaler à l'[autorité de contrôle](https://blog.varonis.com/gdpr-data-protection-authority-supervisory-listing/)

Vous devez donc

Mettez en place un plan de réponse aux violations de données.

Mettez en place une méthode interne de signalement des problèmes de sécurité.

Article 34 – En cas de violation de données, vous devez en informer les personnes concernées

Ce que dit le texte

Vous devez avertir les personnes concernées « dans un délai raisonnable » si leurs données ont été piratées.

Cela devra probablement être fait dans les 72 heures (conformément au délai fixé par l’autorité de contrôle)

Vous devez donc

Soyez prêt à déployer un plan de gestion des violations de données.

Mettez en place une méthode de notification aux utilisateurs.

Lisez le Guide sur la règle de Notification des violations du GDPR de l’UE

Section 3 – Analysez et documentez l’impact de vos actions sur la sécurité des données

Article 35 – Avant de lancer de nouveaux projets, vous devez procéder à une évaluation de l’impact sur la protection des données

Ce que dit le texte

Avant d’utiliser de nouveaux services pour traiter les données, vous devez déterminer quel en sera l’impact exact sur la sécurité, en particulier ce qu’ils feront des données et s’ils mettront en place un profilage/filtrage en fonction des données.

Vous devez donc

Documentez quel impact pourrait avoir chaque nouveau service sur vos initiatives internes de protection des données.

Article 36 – Vous pouvez demander des autorisations et des conseils.

Ce que dit le texte

Si l’un de vos traitements pourrait exposer les données à un danger, vous devez consulter préalablement l’autorité de contrôle.

Elle vous accordera une autorisation écrite sous 8 semaines. Amusant.

Vous devez donc

Si vous avez par exemple pour projet de publier un ensemble de données « anonymisées » susceptible d’avoir malgré tout un impact sur la confidentialité, vous devez au préalable en obtenir l’autorisation écrite de l’autorité de contrôle.

Section 4 – Délégué à la protection des données (DPO)

Article 37 – Vous devez désigner un délégué à la protection des données

Ce que dit le texte

Vous devez désigner dans votre organisation un point de contact unique qui prendra en charge les demandes concernant le GDPR.

Vous devez donc

Vous devez désigner un délégué à la protection des données.

Il doit s’agir d’un professionnel compétent spécialisé en sécurité informatique. Il doit être capable de résoudre les problèmes et posséder les outils nécessaires pour répondre aux demandes.

En savoir plus :

Devez-vous faire appel à un délégué à la protection des données ?

Conditions à remplir par le délégué à la protection des données

Article 38 – Ce que le délégué à la protection des données doit gérer

Ce que dit le texte

Le délégué à la protection des données doit être impliqué dans les tâches de traitement des données et pris au sérieux.

– Il est autorisé à remplir d’autres missions, tant qu’il n’y a pas de conflit d’intérêt.

Vous devez donc

De nombreuses organisations ont déjà un directeur de la sécurité des informations (CISO ou DSI) et il est probable que ce sera souvent lui qui assumera aussi les responsabilités de délégué à la protection des données (DPO / DPD)

Quel que soit le poste occupé, l’important est que les problèmes de sécurité et de confidentialité des données soient pris en compte dans tous les projets menés par votre organisation.

Article 39 – Ce que doit faire le délégué à la protection des données

Ce que dit le texte

Il doit conseiller l’entreprise sur la façon de respecter le GDPR en permanence.

Vous devez donc

Ne sous-estimez pas le rôle du délégué à la protection des données.

Section 5 – Les groupes commerciaux peuvent mettre en place des codes de conduite et des certifications

Article 40 – Qu’est-ce qu’un code de conduite ?

Ce que dit le texte

Les membres d’un secteur industriel doivent rédiger un code de conduite décrivant comment les dispositions du GDPR doivent être mises en œuvre dans leur secteur d’activité précis.

Par exemple, l’association Pan European Game Information (PEGI) pourrait produire un code de conduite expliquant comment les développeurs de jeux doivent traiter les données qu’ils collectent sur les joueurs. Par la même occasion, le code énoncerait des recommandations sur le contenu des jeux vidéo, concernant le langage employé, la violence et les âges autorisés.

La rédaction de ce code est très pertinente étant donné que les relations de ce secteur avec les données sont très différentes de celles d’autres secteurs tels que la fonderie d’aluminium ou la mécanique automobile.

Vous devez donc

Vous devez vérifier si votre organisation commerciale a publié des codes de conduite.

Des codes de conduite sont encore en cours de développement, et semblent rédigés sur la base du volontariat. C’est un facteur à ne pas perdre de vue car la situation pourrait évoluer ou la conformité pourrait être jumelée à d’autres certifications industrielles ou exigences.

À titre d’exemple, les classifications d’âge PEGI ne sont pas exigées pour les nouveaux jeux vidéo, mais la grande majorité des détaillants ne vendront pas votre jeu si la catégorie d’âge préconisée n’y est pas indiquée.

De la même façon, il est possible que PEGI publie un jour un code de conduite décrivant les normes de protection des données nécessaires pour obtenir la certification.

Article 41 – Des associations peuvent procéder au suivi des codes de conduite

Ce que dit le texte

Des associations (telles que PEGI dans l’exemple ci-dessus) peuvent procéder au suivi des organisations pour voir si elles respectent le code de conduite qu’elles ont publié.

Vous devez donc

Si un code de conduite existe dans votre secteur, l’association a le dernier mot pour déterminer si vous respectez ou non ses exigences

Article 42 – Les associations peuvent certifier que le code de conduite est respecté

Ce que dit le texte

Les associations peuvent mettre en place des certifications (une marque d’approbation) pouvant être accordées aux organisations qui respectent les termes du code de conduite

Vous devez donc

Vérifiez si une certification est disponible pour votre organisation.

Article 43 – Les certifications doivent être approuvées

Ce que dit le texte

Les groupes de certification doivent être approuvés par l’autorité de contrôle.

Vous devez donc

Vérifiez si la certification que vous vous efforcez de respecter a été approuvée par l’autorité de contrôle

Chapitre 5 – Comment gérer le transfert de données en dehors de l’UE et du GDPR

Article 44 – Généralement, vous devez obtenir une autorisation

Ce que dit le texte

Avant de transférer des données, vous devez obtenir une autorisation.

Vous devez donc

Mettez en place un processus pour documenter les actions et les accords de transfert de données

Article 45 – Pays hors UE mais ayant leurs propres exigences comparables à celles du GDPR

Ce que dit le texte

Si la Commission déclare qu’un autre pays respecte ses règles, vous n’avez pas besoin d’autorisation pour y transférer des données.

Vous devez donc

Vérifiez les pays concernés avant de conclure des accords de transfert.

Article 46 – Vous devez prendre en compte la sécurité des données lorsque vous transférez des données dans un autre pays

Ce que dit le texte

Si vous transférez des données dans un autre pays, il doit appliquer des lois de sécurité des données adaptées et apporter des garanties.

Vous devez donc

Lisez attentivement chaque détail de l’approche de sécurité des données de chaque pays.

Article 47 – Les entreprises hors UE peuvent créer leurs propres règles strictes de gestion des données pour être conformes au GDPR

Ce que dit le texte

Si une entreprise hors UE souhaite traiter des données européennes, elle peut créer des règles professionnelles contraignantes similaires aux dispositions du GDPR.

Si elles sont appliquées avec rigueur, le transfert de données à cette entreprise hors UE peut être autorisé.

Vous devez donc

Si vous envisagez de travailler avec une entreprise ne répondant pas aux exigences de l’UE / du GDPR, déterminez si elle possède des règles d’entreprise qui pourraient la rendre conforme au GDPR.

Article 48 – Comment gérer les litiges internationaux concernant les données

Ce que dit le texte

Si un juge ordonne un transfert de données, celui-ci doit respecter le droit international.

Vous devez donc

Cela paraît bizarre d’avoir à l’écrire, mais « n’enfreignez pas les lois internationales »

Article 49 – Une alternative pour le cas où le pays dans lequel vous tentez de transférer des données n’a pas mis en place de règles concernant les données

Ce que dit le texte

Si le pays dans lequel vous transférez les données n’a pas mis en place de règles, vous devez au moins obtenir préalablement l’autorisation de l’utilisateur (ou avoir une autre bonne raison)

Vous devez donc

Si vous respectez les autres directives pour obtenir le consentement de l’utilisateur avant d’agir, vous devriez être couvert pour ceci aussi.

Article 50 – Nous voudrions collaborer avec des pays hors UE

Ce que dit le texte

Les pays doivent s’entendre.

Vous devez donc

Espérez que ce soit le cas, cela faciliterait les choses.

Chapitre 6 – Autorités de contrôle (organismes qui supervisent le GDPR dans chaque pays)

Section 1 – Statut indépendant

Article 51 – Ce que doit faire une autorité de contrôle

Ce que dit le texte

Les pays doivent surveiller si les entreprises appliquent les règles du GDPR.

Vous devez donc

Vous devez déterminer quelle organisation ou division de votre pays gère l’application du GDPR.

Article 52 – Les autorités de contrôle ne doivent pas avoir de conflits d’intérêt

Ce que dit le texte

Les autorités de contrôle ne doivent pas accepter de pot-de-vin ou avoir de conflits d’intérêt.

Vous devez donc

Abstenez-vous de verser des pots-de-vin à votre autorité de contrôle. Ce n’est pas la FIFA.

Article 53 – Comment se faire embaucher dans une autorité de contrôle

Ce que dit le texte

Les employés de l’autorité de contrôle doivent être nommés par le gouvernement.

Vous devez donc

Pas besoin de mener une campagne politique, les employés sont désignés, pas élus.

Article 54 – Règles relatives à l’établissement de l’autorité de contrôle

Ce que dit le texte

Il revient à chaque pays de définir les profils de poste et les conditions d’embauche des employés de l’autorité de contrôle.

Vous devez donc

Peaufinez votre CV sur LinkedIn et commencez à regarder les annonces publiées dans La Tribune pour vous lancer dans une nouvelle carrière prometteuse dans la supervision du GDPR.

Section 2 – Compétence, missions et pouvoirs

Article 55 – Compétence

Ce que dit le texte

Le GDPR implique de maîtriser de nombreux détails techniques (chiffrement, stockage et transfert des données). La personne chargée de superviser ces opérations doit comprendre les concepts en jeu dans le domaine de la sécurité des données.

Vous devez donc

Consultez les Cours de Troy Hunt sur les bases de la sécurité du Web, la sécurité informatique et le plan d’attaque du GDPR.

Article 56 – Compétence de l’autorité de contrôle chef de file

Ce que dit le texte

Les autorités de contrôle doivent gérer les problèmes qui surviennent principalement dans leur propre pays.

Vous devez donc

Bien que le GDPR concerne l’ensemble de l’UE, vous serez très probablement amené à interagir avec l’autorité de contrôle de votre propre pays.

Article 57 – Missions

Ce que dit le texte

Si vous êtes une autorité de contrôle, vous devez écouter les réclamations, encourager la sécurité des données et être une force positive pour la sécurité des données.

Vous devez donc

Aucun élément de cet article ne vous concerne directement, mais le fait qu’il ait été ajouté est une bonne chose.

Cela me donne au moins l’espoir que le rôle des autorités de contrôle ne se limitera pas à appliquer avec rigueur les exigences du GDPR.

Article 58 – Pouvoirs

Ce que dit le texte

Les autorités de contrôle peuvent envoyer des avertissements aux entreprises, les forcer à signaler les violations de données, retirer des certifications et ordonner la suspension des flux de données.

Vous devez donc

Si vous êtes en communication avec votre autorité, prenez garde, elle peut provoquer d’importants bouleversements dans votre organisation. Écoutez-la.

Article 59 – Rapports d’activité

Ce que dit le texte

Chaque année, vous devez publier un rapport public présentant les actions que vous avez menées.

Vous devez donc

Vous devez faire tout votre possible pour que votre entreprise ne figure pas sur ce rapport.

Chapitre 7 – Coopération et cohérence

Section 1 – Coopération

Article 60 – Coopération

Ce que dit le texte

Les autorités de contrôle doivent s’entraider

Article 61 – Assistance mutuelle

Ce que dit le texte

Les autorités de contrôle doivent échanger mutuellement leurs informations et demandes.

Article 62 – Opérations conjointes des autorités de contrôle

Ce que dit le texte

Si un incident ou une enquête le justifie, les autorités de contrôle doivent mener des enquêtes conjointes.

Section 2 – Cohérence

Article 63 – Mécanisme de cohérence

Ce que dit le texte

Cet article explique comment les autorités de contrôle doivent coopérer.

Article 64 – Avis du comité

Ce que dit le texte

Certaines questions spécifiques telles que les nouvelles exigences, critères ou règles d’entreprise doivent être approuvées par le comité

Article 65 – Règlement des litiges par le comité

Ce que dit le texte

Le comité règlera les litiges entre les autorités de contrôle

Article 66 – Procédure d’urgence

Ce que dit le texte

En cas de développement d’une nouvelle technologie ou procédure (telle que la télépathie quantique des données cérébrales) sortant du cadre des réglementations actuelles et présentant un caractère urgent, l’autorité de contrôle peut mettre en œuvre une nouvelle réglementation sans passer par le comité.

Vous devez donc

Abstenez-vous d’inventer une nouvelle technologie qui perturbera l’infrastructure de communication et le stockage de données sécurisées de l’économie mondiale. Autrement dit, pas de mise en pratique de l’Informatique quantique.

Article 67 – Échange d’informations

Ce que dit le texte

La commission fera le nécessaire pour que les autorités de contrôle échangent des informations de manière sécurisée.

Vous devez donc

Découvrez si la Commission a trouvé comment faire tout en respectant le GDPR.

Section 3 – Comité européen de la protection des données

Article 68 – Comité européen de la protection des données

Ce que dit le texte

Il existe désormais un Comité européen de la protection des données (parce que nous l’avons décidé). Chaque pays désigne une personne autorisée à y siéger.

Vous devez donc

Déterminez qui a été désigné dans votre pays et souhaitez-lui bonne chance.

Article 69 – Indépendance

Ce que dit le texte

Le comité est un puissant conseil indépendant qui agit en toute autonomie selon ses propres termes et qui ne s’en laisse compter par personne.

Vous devez donc

Respectez le comité.

Article 70 – Missions du comité

Ce que dit le texte

Nous allons rédiger des directives pour vos directives.

Vous devez donc

Lisez les directives.

Article 71 – Rapports

Ce que dit le texte

Chaque année, un rapport public de nos activités inclura des conseils pratiques et des meilleures pratiques.

Vous devez donc

Lisez ce rapport lorsqu’il sera disponible, il pourrait être vraiment utile et informatif.

Article 72 – Procédure

Ce que dit le texte

Les décisions sont prises à la majorité simple, mais si vous voulez changer les règles, le vote des deux tiers des membres est nécessaire.

Vous devez donc

Commencez à aligner une super-majorité de représentants si vous voulez apporter des changements majeurs aux dispositions du GDPR.

Article 73 – Président

Ce que dit le texte

Un président et deux adjoints seront élus pour un mandat de 5 ans. 2 mandats autorisés.

Vous devez donc

Trouvez qui est le président du comité et suivez-le sur Twitter.

Article 74 – Missions du président

Ce que dit le texte

Il préside des réunions. Il s’adresse aux autorités de contrôle chefs de file.

Article 75 – Secrétariat

Ce que dit le texte

Le secrétariat prendra en charge les opérations ordinaires.

Vous devez donc

Ne perdez pas de vue qu’il s’agit d’un poste à responsabilité important occupé par une personne respectée dans une vénérable institution et non le cheval qui a remporté la Triple couronne en 1973.

Article 76 – Confidentialité

Ce que dit le texte

Les activités du comité peuvent être confidentielles si elles sont sensibles.

Vous devez donc

Évitez de pirater le comité. Ce serait de mauvais goût.

Chapitre 8 – Voies de recours, responsabilité et sanctions

Article 77 – Droit d’introduire une réclamation auprès d’une autorité de contrôle

Ce que dit le texte

Toute personne peut déposer auprès de l’autorité de contrôle une réclamation visant une entreprise en possession de ses données.

L’autorité de contrôle doit prendre cette réclamation au sérieux et tenir l’auteur de la réclamation informée du résultat de l’enquête.

Vous devez donc

Aucune action directe de votre part n’est requise dans le cadre de cet article, mais il montre comment votre organisation pourrait attirer l’attention de l’autorité de contrôle.

Notez en particulier que pour être conforme au GDPR vous êtes tenu d’informer les personnes et de les adresser à l’autorité de contrôle afin qu’elles puissent déposer une réclamation.

– Identifiez l’Autorité de protection des données de votre pays et prenez note des autorités des autres pays au cas où elles vous contacteraient.

Article 78 – Droit à un recours juridictionnel effectif contre une autorité de contrôle

Ce que dit le texte

Les personnes peuvent intenter une action en justice contre l’autorité de contrôle si elles ont le sentiment que leur réclamation n’a pas été traitée correctement.

Vous devez donc

Cet article ne vous concerne très probablement pas (il est impensable qu’une autorité de contrôle lise cet article pour obtenir des conseils juridiques).

Toutefois, je pense que cet article montre bien la détermination de la Commission à mettre le GDPR en application.

Il détaille la procédure d’escalade à suivre par les personnes, depuis les organisations > autorités de contrôle > systèmes juridiques, pour protéger leurs données et découvrir comment elles sont utilisées.

Article 79 – Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant

Ce que dit le texte

Les utilisateurs ont droit à un recours juridictionnel

Vous devez donc

Impliquez le conseiller juridique de votre entreprise car vous pourriez être traduit en justice parallèlement ou suite à une réclamation.

Article 80 – Représentation des personnes concernées

Ce que dit le texte

Les utilisateurs peuvent constituer une entité juridique à but non lucratif pour mener des actions en justice communes, plus efficaces contre les entreprises (responsables du traitement et sous-traitants).

Vous devez donc

Préparez-vous à recevoir un grand nombre d’e-mails de recours collectif

Article 81 – Suspension d’une action

Ce que dit le texte

Si le responsable du traitement est poursuivi dans un autre pays, l’affaire peut être suspendue dans le pays initial.

Vous devez donc

Bonne chance si vous êtes un responsable du traitement ou un sous-traitant poursuivi simultanément en justice dans plusieurs pays.

Article 82 – Droit à réparation et responsabilité

Ce que dit le texte

1. Qui peut obtenir réparation ?

Toute personne victime d’une violation de ses droits relatifs aux données (même non touchée directement)

2. Qui est responsable ?

Tout responsable du traitement ou sous-traitant fautif.

3. Des portes de sortie ?

Si vous pouvez prouver que vous n’êtes en aucune façon responsable (et n’avez commis aucune négligence), alors vous ne craignez rien.

4. Comment le dédommagement est-il réparti ?

Lorsque plusieurs entités (responsables du traitement et sous-traitants) sont responsables, chacune d’elle doit assumer le paiement dans sa totalité.

5. Réclamation ?

Une fois qu’un responsable du traitement / sous-traitant a dédommagé l’utilisateur, il est en droit de poursuivre en justice les autres responsables du traitement ou sous-traitants afin de déterminer qui est responsable.

6. Quelle est la juridiction concernée ?

Le pays dans lequel vous êtes.

Vous devez donc

La façon dont vous et votre organisation allez payer les amendes a été mûrement réfléchie dans le GDPR.

La procédure est nettement favorable à la personne qui a présenté une réclamation contre vous.

Article 83 – Conditions générales pour imposer des amendes administratives

Ce que dit le texte

Les amendes pour violation seront « efficaces, proportionnées et dissuasives »

Selon le soin que vous avez apporté à la protection des données et à vos efforts pour obtenir le consentement de l’utilisateur, l’amende peut s’élever à plusieurs millions de dollars ou à 2 % de votre chiffre d’affaires.

Vous devez donc

Faites tout ce qui est en votre pouvoir pour respecter le GDPR car c’est ce qui conditionne l’imposition d’amendes.

Le montant de l’amende varie en fonction de ce que vous faites des données, des contrôles mis en place, de la documentation, des processus, etc.

Article 84 – Sanctions

Ce que dit le texte

Les pays peuvent ajouter des amendes supérieures à ce qui est stipulé dans le GDPR.

Vous devez donc

Sortez le carnet de chèques.

Chapitre 9 – Dispositions relatives à des situations particulières de traitement

Article 85 – Traitement et liberté d’expression et d’information

Ce que dit le texte

Les règles des autorités de contrôle ne peuvent aller à l’encontre de la liberté d’expression des journalistes, universitaires ou artistes.

Vous devez donc

Si vous traitez des données présentant un intérêt public, examinez de plus près vos procédures de traitement des données.

Article 86 – Traitement et accès du public aux documents officiels

Ce que dit le texte

Les gouvernements et entités doivent pouvoir accéder à vos informations si elles sont d’intérêt public.

Vous devez donc

N’espérez pas faire annuler votre contravention en invoquant le droit à l’oubli.

Article 87 – Traitement du numéro d’identification national

Ce que dit le texte

Chaque gouvernement doit définir des règles régissant le traitement du numéro d’identification national

Vous devez donc

Traiter les informations d’identification de votre propre pays en tant qu’informations personnelles et sensibles ne suffit pas. Vous devez trouver et signaler toute donnée d’identification de chaque pays de l’UE.

Article 88 – Traitement dans le cadre des relations de travail

Ce que dit le texte

Les gouvernements peuvent imposer des lois plus spécifiques en ce qui concerne les relations de travail.

Vous devez donc

Il est fort possible que le service des ressources humaines de votre organisation conserve les données sur le personnel dans un système séparé de vos données utilisateur. Il possède son propre ensemble de règles d’accès et de procédures dans le cadre du GDPR.

Article 89 – Dérogations possibles pour les données conservées dans l’intérêt du public (à des fins scientifiques ou historiques)

Ce que dit le texte

Il est possible de mettre en place un archivage dans l’intérêt du public, mais il doit être protégé de manière adaptée

Vous devez donc

On ne sait pas encore clairement quelles seront les limites imposées pour l’archivage des données dans l’intérêt du public.

Mais si vous travaillez dans un domaine protégé, il est probable que l’autorité de contrôle le saura.

Article 90 – Les espions ont leurs propres règles

Ce que dit le texte

Les agences de renseignement ont leurs propres ensembles de règles

Vous devez donc

Cet article ne vous concerne très probablement pas (car il est impensable qu’une autorité de contrôle lise cet article pour obtenir des conseils juridiques).

Toutefois, je pense que cet article montre bien la détermination de la Commission à mettre le GDPR en application.

Il détaille la procédure d’escalade à suivre par les personnes, depuis les organisations > autorités de contrôle > systèmes juridiques, pour protéger leurs données et découvrir comment elles sont utilisées.

Article 91 – Dérogations pour les institutions religieuses

Ce que dit le texte

Les institutions religieuses font l’objet de dérogations spéciales

Vous devez donc

Si vous êtes une église, une mosquée ou une autre organisation religieuse, les lois en vigueur sur la confidentialité des données auxquelles vous êtes soumis s’appliquent en plus du GDPR.

Chapitre 10 – Jargon et actes juridiques

Article 92 – Exercice de la délégation

Ce que dit le texte

Tout est sujet à modification si l’ordre nous en est donné

Article 93 – Comité

Ce que dit le texte

La Commission a un comité

Chapitre 11 – Dispositions finales

Article 94 – Abrogation de la directive 95/46/CE

Ce que dit le texte

L’ancienne réglementation sur la confidentialité et les données n’a plus lieu d’être. Le GDPR entre en vigueur.

Article 95 – Relation avec la directive 2002/58/CE

Ce que dit le texte

Le GDPR doit s’intégrer à ces anciennes réglementations

Article 96 – Relation avec les accords conclus antérieurement

Ce que dit le texte

Tout accord international ponctuel n’a plus lieu d’être. Vive le GDPR !

Article 97 – Rapports de la commission

Ce que dit le texte

Tous les 4 ans, la Commission publiera un rapport sur le statut du GDPR.

Article 98 – Réexamen d’autres actes juridiques de l’Union relatifs à la protection des données

Ce que dit le texte

Il pourrait y avoir des incohérences avec d’autres actes juridiques. La commission s’efforcera d’y remédier.

Article 99 – Entrée en vigueur et application

Ce que dit le texte

Le jour du Jugement dernier est fixé au 25 mai 2018