L’ordonnance de réécriture de la loi Informatique et libertés est parue

L’ordonnance n° 2018-1125 du 12 décembre 2018 est publiée au Journal officiel du 13 décembre.

Elle est prise en application de l’article 32 de la loi du 20 juin 2018 relative à la protection des données personnelles et réécrit la loi Informatique et libertés. L’objectif est, d’une part, de simplifier la mise en oeuvre et apporter les corrections formelles nécessaires à la cohérence avec le droit de l’Union européenne relatif à la protection des données à caractère personnel, d’autre part, d’assurer la cohésion de l’ensemble de la législation applicable à la protection des données personnelles.

l’offre themys conformité

L’offre Themys conformité intègre la réalisation de l’ensemble des opérations prévues par les dispositions réglementaires. Deux phases sont intégrées dans cette offre : la mise en conformité, qui intervient au démarrage du contrat, et le suivi.

  1. Themys est désigné délégué à la protection des données (DPO) avec enregistrement auprès de la CNIL.
  2. Mise en place de la formation / sensibilisation abordant les thèmes suivants  :
    o Contexte, de la Loi informatique et libertés au RGPD ;
    o Etude des principes, des conditions de licéité, du recueil du consentement, des droits des personnes, des responsabilités liées au rgpd ;
    o Impact sur le fonctionnement, réflexes métiers et changement de culture.
  3. Réalisation de la cartographie :
    o Infrastructures ; Sécurité (base référentiel général de sécurité) ;
    o Des systèmes et applications, des supports papier ;
    o Des données personnelles ;
    o Des traitements (focus recueil du consentement) ;
    o De la sous-traitance (étude des contrats fournisseurs, clauses liées au RGPD) ;
    o Réalisation du registre des traitements par finalités ; Analyse d’impact sur la vie privée (PIA) si nécessaire ;
  4. Préconisations et actions correctives à engager, plan d’action ;
  5. Suivi, veille réglementaire, assistance, contrôle et bilan annuel
    o Prise en charge et traitement des demandes d’accès aux données personnelles
    o Prise en charge des nouveaux traitements dès leur conception (privacy by design) et des modifications apportées aux traitements existants ;
    o Intégration des évolutions réglementaires : notes d’informations techniques et notes de formation pour les agents et élus ;
    o Assistance sur contrôle CNIL (obligatIon)
    o Bilan annuel obligatoire : activité, réexamen de la conformité des traitements, mise à jour, suivi de réalisation des préconisations.
Un espace sécurisé est mis à disposition permettant le stockage de l’ensemble des documents liés à la démarche rgpd et l’accès à une bibliothèque de notes techniques et documents (ex. :  charte des usages du système d’information applicable aux utilisateurs internes et externes, …).

Étude sur demande : contact@themys.fr ou 05 55 22 48 38

l’offre mutualisée collectivités

Il s’agit de l’offre conformité mutualisant certains points de la démarche RGPD.

La démarche mutualisée permet de générer une dynamique territoriale autour de la conformité RGPD d’établissements œuvrant dans le même domaine et sur un même territoire. Certaines étapes de la démarche de conformité sont alors réalisées en commun, ce qui permet notamment de réduire les coûts :

  • Mutualisation des données techniques des logiciels métiers utilisés couramment, (recueil des informations nécessaires auprès des éditeurs), informations nécessaires à la création du registre des traitements ;
  • Mutualisation des formations (calendrier et lieux de déroulement) ;
  • Une collectivité « chef de file » est désignée pour l’organisation.

Le reste de la démarche est réalisé individuellement : chaque collectivité ou établissement dispose de son propre contrat, de son propre numéro de désignation dpo-Cnil et de sa facturation / gestion du contrat en direct.

Pour une étude personnalisée : contact@themys.fr ou 05 55 22 48 38

ATTENTION AUX ARNAQUES AU RGPD !

La CNIL attire l’attention des entreprises, associations, collectivités et professionnels sur les agissements de sociétés profitant de l’entrée en vigueur de ce règlement pour opérer du démarchage, parfois de manière agressive, afin de vendre un service d’assistance à la mise en conformité au RGPD.

Au regard de pratiques commerciales trompeuses, la DGCCRF et la CNIL formulent plusieurs recommandations qui visent à :

  • vérifier l’identité des entreprises démarcheuses qui ne sont en aucun cas, contrairement à ce que certaines prétendent, mandatées par les pouvoirs publics pour proposer à titre onéreux des prestations de mise en conformité au RGPD ;
  • vérifier la nature des services proposés : la mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation. Elle suppose un vrai accompagnement, par un professionnel qualifié en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps.

Attention également aux matériels présentés comme « RGPD CONFORMES » : le rgpd est une démarche reposant sur l’analyse fine de votre système d’information et ne sera jamais un matériel…  La présence du logo de la CNIL sur le site internet ou sur un document d’une société commercialisant ces solutions n’est pas non plus une garantie, cette utilisation étant souvent faite sans autorisation.

Dans certains cas, il peut aussi s’agir de manœuvres pour collecter des informations sur une société en vue d’une escroquerie ou d’une attaque informatique.

A qui s’applique le rgpd ?

L’implantation géographique du responsable (ou responsable conjoint) du traitement ou encore celle du sous- traitant permettent de définir si le rgpd s’applique :

LE RGPD

Le Règlement européen sur la protection des données personnelles (RGPD) est applicable depuis le 25 mai 2018 dans l’ensemble de l’Union européenne. Il vise à protéger les libertés et droit fondamentaux des personnes physiques et, en particulier, leur droit à la protection de leurs données personnelles, mais aussi à garantir la libre circulation de ces données au sein de l’Union.

Le RGPD a élargi le champ d’application tant matériel que territorial des règles relatives à la protection des données personnelles. Il définit 26 notions dont certaines font leur apparition, alors que d’autres ne sont pas nouvelles, mais reçoivent une acception différente.

Le RGPD engendre un allègement considérable des obligations en matière de formalités préalables, puisque le régime déclaratif est totalement supprimé, pour rentrer dans l’ère de la gouvernance des données personnelles. Cette gouvernance nécessite de documenter en continue les actions menées pour être en capacité de piloter et de démontrer la conformité.

Contexte réglementaire : règlement général sur la protection des données personnelles 2016/679 ; Loi 2018-493 relative à la protection des données personnelles (Loi informatique et libertés 3, LiL3).

Quelles sont les données soumises au RGPD ?

Le RGPD définit la notion de «données à caractère personnel» comme « toute information se rapportant à une personne physique identifiée ou identifiable » et précise qu’est réputée être «identifiable» une personne physique «qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale».

Ainsi, des identifiants en ligne tels que les adresses IP et des témoins de connexion (cookies) ou des étiquettes d’identification par radiofréquence, peuvent servir à identifier les personnes physiques, notamment s’ils sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs.

La protection instaurée par le RGPD ne s’applique pas aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de façon à rendre impossible toute identification de la personne concernée. Pour qu’une donnée soit considérée comme anonyme, le processus d’anonymisation doit être irréversible.