Règlement Général sur la Protection des Données RGPD

Règlement Général sur la Protection des Données (RGPD) ; GDPR en anglais.

Pour toutes les entreprises européennes concernées par le traitement de données.

Le règlement européen sur la protection des données personnelles sera applicable en mai 2018 dans tous les pays de l’Union Européenne. Cette réforme globale doit permettre à l'Europe de s'adapter aux nouvelles réalités du numérique : Comprendre le règlement européen.

Voir aussi la vidéo Le youtubeur Cookie Connecté répond à vos questions sur l’arrivée du RGPD réalisée avec la CNIL.

Documentation

Cadre réglementaire

• Note du Centre de Recherche de l’École des Officiers de la Gendarmerie Nationale (fichier PDF) : "Le Règlement général de protection des données : vers une « grande charte des libertés » de l’identité numérique ?"
• Billets de la CNIL, Règlement européen sur la protection des données :
  • "ce qui change pour les professionnels"
  • "un guide pour accompagner les sous-traitants"
  • "En quoi les collectivités territoriales sont-elles impactées par le règlement européen sur la protection des données ?"
• Les "Privacy Impact Assessment (PIA de la CNIL)"
  • PIA-1, la méthode : Comment mener une étude d'impact sur la vie privée
  • PIA-2, l'outillage : Modèles et bases de connaissances de l'étude d'impact sur la vie privée
  • PIA-3, les bonnes pratiques : Mesures pour traiter les risques sur les libertés et la vie privée
• CNIL: Règlement européen : se préparer en 6 étapes
  • Désigner un pilote
  • Cartographier vos traitements de données personnelles
  • Prioriser les actions à mener
  • Gérer les risques
  • Organiser les processus internes
  • Documenter la conformité

• Europe :
  • Texte original : RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
  • EU General Data Protection Regulation (GDPR) This website is a resource to educate the public about the main elements of the General Data Protection Regulation (GDPR)

En pratique

• DPO (Data Protection Officer)

• Solutions pour les cookies de mesure d'audience (CNIL)
• centralisées de recueil de consentement aux cookies : les gestionnaires de tag (CNIL)

• 7 points d’éclaircissement sur le RGPD appliqué aux sites Internet
• Pour une protection sociale des données personnelles - Cet article a été co-écrit par Lionel Maurel et Laura Aufrère, doctorante au Centre d’Économie de Paris Nord (UMR CNRS 7234-CEPN). Université Paris 13 – Sorbonne Paris Cité.

Divers

• https://wodric.com/gpdr-impact-sur-vos-developpements/
• https://www.donneespersonnelles.fr/gdpr
• PAD OpenAteliers (Ping Nantes) : https://bimestriel.framapad.org/p/RGPD et article inspiré du pad https://www.dill-projet.net/blog/la-rgpd

Implémentation

Intégration logiciels

Logiciel de statistiques fréquentation web

• Matomo (ancienement piwik)

• Operation Tarte au Citron de la CNIL : js mis en place par sur le site de la CNIL et qui permet d'avoir le consentement facilement https://opt-out.ferank.eu/fr/install/

Intégration dans les CMS

• Drupal https://www.drupal.org/project/gdpr
• Wordpress https://wordpress.org/plugins/tags/gdpr/
  • Tarte au citron pour WP (Free for 3 services or unlimited for 15€HT/month)
  • https://codelight.eu/wordpress-gdpr-framework/
• Prestashop https://addons.prestashop.com/en/legal/28991-gdpr-suite.html (payant)

Google Analytics

• Google à propos des Règles relatives au consentement de l'utilisateur dans l'Union européenne
• GDPR Compliance with Google Analytics – Do You Need Cookie Consent? by Jeff Sauer a Google Analytics expert

Quelques concepts

• RGPD ne concerne pas les personnes morales mais les personnes physiques, sur le sol de l'EU
• suppose la nomination d'un Délégué à la Protection des Données (informe, conseil, contrôle) et un Responsable de Traitement
• la mise en place d'un Registre des activités de traitement avec dedans
  • nom et coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du DPO ;
  • les finalités du traitement ;
  • une description des catégories de personnes concernées et données personnelles ;
  • les catégories de destinataires auxquels les données personnelles ont été ou seront communiquées ;
  • les transferts de données personnelles vers un pays tiers ;
  • dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données :
  • une description générale des mesures de sécurité techniques et organisationnelles

Pour se faire accompagner

• Ce quizz en 34 question fait le tour des question à se poser : https://rgpd.medef.com/quiz