Return to site

Comment préparer ma galerie au RGPD ?

Comment se préparer au Règlement Général sur la Protection des Données

· Le coin des pro

Le 25 mai entrera en vigueur le Règlement européen sur la Protection des Données. En tant que professionnel, traitant les données de citoyens européens vous devez mettre en place les précautions nécessaires afin d'être conforme au RGPD.

Qu'est ce que le RGPD ?

Le RGPD est le règlement européen de protection des données entrant en vigueur en France le 25 mai. Il vise à renforcer les obligations des entreprises liées à la conservation et au traitement des données personnelles des citoyens européens collectées dans le cadre de l'utilisation de produits ou services. L'objectif du texte est d'harmoniser les droits des différents pays européens sur la question. L'esprit du RGPD est de protéger l'internaute et de conforter ou renforcer ses droits en matière de données.

Suis-je concerné ?

Sont concernées par le RGDP toute entité manipulant des données personnelles concernant des Européens (même les TPE/PME). Si vous êtes une galerie ou un artiste et que vous collectez des données (comme des adresses email, des noms, des numéros de téléphone...) vous êtes concernés.

Quelle sanction en cas de non conformité ?

En cas de non conformité au RGPD, les amendes encourues représentent jusqu’à :

  • 20 millions d’euros 
  • ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent 

Le montant le plus élevé des deux cas de figure est retenu.

Quel contrôle ?

En France c'est la CNIL (Commission Nationale de l'Informatique et des Libertés) qui veille à la bonne application du RGPD. Ses pouvoirs de contrôle ne sont pas étendus par le RGPD, elle continue à disposer du pouvoir de vérifier dans les locaux des organismes, en ligne, sur audition et sur pièces.

Les modalités de déclenchement des contrôles restent également les mêmes : la décision de réaliser un contrôle s’effectuera sur la base du programme annuel des contrôles, des plaintes reçues par la CNIL, des informations figurant dans les médias, ou pour faire suite à un précédent contrôle.

Les premiers mois, la CNIL distinguera deux types d’obligations s’imposant aux professionnels :

  • Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL.
  • Les nouvelles obligations ou les nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact, etc.) : "les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes. En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points."
Sur les nouvelles obligations donc, la CNIL aura plus une action de pédagogie et d'accompagnement que de sanction, les premiers mois.
artset

Comment me conformer au RGPD ?

La CNIL propose un guide en 6 étapes :

Étape 1 : Nommer un DPO (délégué à la protection des données)

Vous devez désigner un responsable de la protection des données qui sera le référent pour toutes ces questions. Il exerce un rôle d’information, de conseil et de contrôle en interne.

La désignation d'un DPO est obligatoire si :

  • Vous êtes un organisme public ;
  • Vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Étape 2 : Cartographier vos traitements de données personnelles

Vous devez tenir une documentation interne complète et précise sur le traitement des données personnelles que vous mettez en oeuvre et vous assurer que ces traitements respectent bien les nouvelles obligations légales.

  • Les différents traitements de données personnelles (comme la collecte, l'enregistrement, l'organisation, la structuration, la conservation...) 
  • Les catégories de données personnelles traitées ;
  • Les objectifs poursuivis par les opérations de traitements de données ;
  • Les acteurs (internes ou externes) qui traitent ces données. Vous devrez notamment clairement identifier les prestataires sous-traitants afin d’actualiser les clauses de confidentialité ;
  • Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l'Union européenne.

Pour formaliser ces informations, la CNIL propose des modèles de documents comme la fiche CIL ou le modèle de Registre :

Étape 3 : Prioriser les actions à mener

Votre attention doit se porter en priorité sur :

  • des données qui révèlent l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale,
  • des données concernant la santé ou l’orientation sexuelle,
  • des données génétiques ou biométriques,  
  • des données d’infraction ou de condamnation pénale,
  • des données concernant des mineurs.
  • les données transférées hors de l'Union Européenne

Étape 4 : Mener une analyse d'impact sur la protection des données (PIA)

Un PIA est un outil d’évaluation d’impact sur la vie privée. Il repose sur 2 piliers :

  1. les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;
  2. la gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.

Un PIA contient :

  • Une description du traitement étudié et de ses finalités.
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
  • une évaluation des risques pour les droits et libertés des personnes concernées les mesures envisagées pour faire face aux risques.
Mener un PIA est obligatoire pour tout traitement susceptible d'engendrer des risques élevés pour les droits et libertés des personnes concernées (Article 35 du RGPD), c'est à dire si votre traitement réunit 2 des cas suivants :
  • Evaluation ou notation
  • Décision automatisée avec effet juridique ou effet similaire significatif;
  • Surveillance systématique ;
  • Données sensibles ou données à caractère hautement personnel ;
  • Données personnelles traitées à grande échelle ;
  • Croisement d’ensembles de données ;
  • Données concernant des personnes vulnérables ;
  • Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
  • Exclusion du bénéfice d’un droit, d’un service ou contrat.

Étape 5 : Mettre en place des processus

La CNIL recommande de mettre en place des processus en interne pour :

  • Prendre en compte de la protection des données personnelles dès la conception 
  • Sensibiliser et organiser le remontée d'information
  • Traiter et les réclamations et les demandes des personnes concernées quand à l’exercice de leurs droits
  • D'anticiper les violations de données

Étape 6 : Documenter

La documentation vise à prouver votre conformité au RGPD. Votre documentation doit inclure les documents suivants :

  • Le registre des traitements 
  • Les analyses d’impact sur la protection des données 
  • L'encadrement des transferts de données hors de l'Union européenne 
  • Les mentions d’information
  • ​Les modèles de recueil du consentement des personnes concernées,
  • Les procédures mises en place pour l'exercice des droits
  • Les contrats avec les sous-traitants
  • Les procédures internes en cas de violations de données
  • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.
All Posts
×

Almost done…

We just sent you an email. Please click the link in the email to confirm your subscription!

OKSubscriptions powered by Strikingly