Règlement européen sur la protection des données personnelles (RGPD)

Le Règlement général sur la protection des données (RGPD), publié au Journal Officiel de l’Union Européenne le 4 mai 2016, est entré en vigueur le 25 mai 2018 sur le territoire national des États membres de l’Union européenne.

La loi Informatique et Libertés du 6 janvier 1978 n’a pas pour autant été supprimée mais a été modifiée pour se mettre en conformité avec la réglementation européenne. Sa dernière modification est issue de l’ordonnance n° 2018-1125 du 12 décembre 2018.

Fiche d'inscription au registre des activités de traitement de l'Université Gustave Eiffel

Jusqu’au 24 mai 2018, la protection des données personnelles reposait sur la mise en œuvre de formalités auprès de la CNIL, notamment par des déclarations ou demandes d’autorisations préalables.

Depuis le 25 mai 2018, le principe est celui de la responsabilisation du responsable de traitements et des sous-traitants.

L'article 30 du RGPD porte obligation pour tout organisme de concevoir et tenir à jour un registre de l'ensemble des traitements de données à caractère personnelle mis en oeuvre par celui-ci.

En cas de contrôle de l'autorité de contrôle (CNIL), il participe à la documentation sur la conformité au RGPD.

En pratique, une fiche registre doit donc être établie pour chaque traitement mis en place.

Celle-ci vous permet de documenter vos traitements de données et de vous poser les bonnes questions : ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ? Est-il pertinent de conserver toutes les données aussi longtemps ? Les données sont-elles suffisamment protégées ? Cela permet aussi d'identifier et de hiérarchiser les risques au regard du RGPD.

Cela peut aussi constituer une base d'échange avec le DPO de l'organisme qui pourra vous accompagner, vous conseiller et le cas échéant vous aider à déduire un plan d’action de mise en conformité de vos traitements aux règles de protection des données.