Les prioritésQuelles sont les missions du DPO ?Qui peut être DPO ?La nomination d’un DPO est-elle obligatoire ?La protection des donnéesLe renforcement des droitsLa responsabilisation (ou « accountability »)Responsable du traitementTraitement de donnéeDonnée personnelleLe RGPD, quels impacts ?Le RGPD, c’est pour quand ?Le RGPD qu’est-ce que c’est ?

Désigner le Délégué à la protection des données (DPO). Faire l’état des lieux : dresser la cartographie des traitements et évaluer le niveau de sécurité du Système d’Information. Élaborer la feuille de route conduisant à la convergence avec le RGPD

informer, conseiller et accompagner au sein de sa structure ; sensibiliser aux enjeux de la protection des données personnelles les salariés comme les « clients » ; superviser des audits internes sur la protection des données personnelles ; conseiller le responsable sur l'opportunité de réaliser une analyse d'impact vie privée (PIA) et d'en vérifier l'exécution ; recevoir et…

Le DPO peut être interne (salarié de l’association), externe ou mutualisé, il doit posséder des connaissances en matière de protection des données et être à l’abri des conflits d’intérêts (il ne peut être responsable de traitements).

La désignation d'un Délégué est rendue obligatoire dans les cas suivants : Les autorités et organismes publics (par exemple, les ministères, collectivités territoriales, établissements publics). Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Par exemple : les compagnies d'assurance ou les banques…

La protection des données doit être intégrée dès la conception du traitement (cette notion est quelquefois dénommée « privacy by design »). Tout traitement est réputé assurer la protection des données personnelles (cela est quelquefois dénommé « privacy by default »). La mise en œuvre de tout traitement présentant un risque élevé doit faire l’objet…

Ce renforcement se matérialise par 5 dispositions nouvelles : le consentement qui doit être explicite, éclairé et traçable, la portabilité des données : la possibilité, sous réserve du consentement, de transférer les données d’un système informatique à un autre, le droit d’accès et de rectification qui peut être délégué à une association ou une organisation dans le…

La responsabilisation (dite encore accountability) se traduit essentiellement par la suppression des contrôles a priori (l’autorisation de la CNIL). Tout traitement est dès l’origine réputé conforme et les contrôles ne s’exerceront plus qu’a posteriori. Commanditaire et sous-traitant sont solidairement responsables. En outre il est fait obligation de déclarer à la CNIL (et le plus souvent…

Ce peut être une personne morale ou une personne physique. La notion est très large et le G29 recommande de chercher plutôt la responsabilité d’une personne morale. Le responsable est celui qui a un pouvoir décisionnel sur les finalités et les moyens du traitement. La notion de responsabilité s’apprécie au cas par cas (responsabilité totale…

Toute opération, ou ensemble d’opérations, portant sur les données, quel que soit le procédé (automatisé ou manuel) utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, ...). Le fichier Excel permettant d’organiser les services de…

Une donnée personnelle caractérise toute information identifiant directement ou indirectement une personne physique (exemples : nom, numéro d’immatriculation, numéro de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale, etc.). Le RGPD concerne toutes les données personnelles (et quel que soit leur support, numérique ou physique) que traite l'Organisme Gestionnaire, donc aussi bien les…

3 impacts au moins : • financier : des pénalités lourdes (2 à 4% du CA) et l’indemnisation des victimes, • juridiques : des condamnations pénales peuvent être encourues, • image : obligation de notifier les failles de sécurité, actions de groupe.

La date d’entrée en vigueur est le 24 mai 2016 , pour une mise en application à partir du 25 mai 2018.

Un acte juridique européen. Le règlement s’impose à tous les sujets de droit : particuliers, États, institutions. Il s’applique à tous : les acteurs français, les acteurs européens, les acteurs étrangers qui traitent des données d’européens.