Le RGPD (règlementation générale pour la protection des données) ou GDPR (en anglais), est une règlementation européenne entrée en vigueur en avril 2016 et qui devient obligatoire le 25 mai 2018. Oui cela commence à être su et intégré… Mais c’est quoi… vraiment je veux dire?

Pourquoi le RGPD?

Le but est d’assurer une visibilité concernant l’utilisation des données à caractère personnel et d’harmoniser l’utilisation de ces données au sein des entreprises des pays membres.

D’un point de vue « pragmatique » et pour faire plus simple:

Toute entreprise ou entité, quelle que soit sa taille, qui réalise de la collecte de données, qui utilise des données personnelles, les archive, les traite dans une finalité commerciale ou dans le but d’étude et de suivi du comportement devra s’y conformer.

Donc on parle de données, approfondissons:

Sont considérées comme données à caractère personnel:

  • Données d’identification (numéro de tél, adresse,carte d’identité…)
  • Données de localisation (géolocalisation, GPS,…)
  • Données sensibles (orientation sexuelle, santé,…)
  • Données financières et bancaires (salaires, IBAN,…)
  • Données professionnelles (mail pro, compétences,…)
  • Vie personnelle (situation familiale)
  • Informations de login (IP, Cookies,…)
  • Profil internet (Réseaux sociaux,…)

Naturellement les données peuvent concerner plusieurs personnes (client, prospect, fournisseur, grand public, collaborateur, sous-traitant, actionnaire,)

En traitant certaines de ces données, il est possible de courir un ou des risques (perte d’intégrité, perte, corruption de données,

 Comme le précise Anaïs Olivier dans l’article suivant Données personnelles : quand faut-il réaliser une analyse d’impact ? Par Anaïs Olivier, Avocate.

La CNIL est venue préciser qu’un traitement est présumé comporter un risque important pour la vie privée des personnes si le traitement remplit au moins deux des critères suivants :

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

Il convient ainsi de réaliser une analyse d’impact dans les cas précités, mais il sera naturellement intéressant de la réaliser dès l’or que l’on traitera des données.

L’analyse d’impact sera à la charge du DPO (Data protection officer), nommé dans les entités et devra mettre en place la politique de protection des données au sein de la structure et du pilotage des projets en interne.

Il effectuera un DPIA (Data privacy impact assessment), Cela concerne tout lancement de projet interne ou création de produit.

L’étude d’impact est l’analyse des risques, à ce titre elle s’appuiera sur la gravité et l’occurrence d’un risque.


L’étude d’impact comprend 4 étapes:

1- Le contexte:

  • Décrire le ou les traitements considérés (finalités, enjeux, durées de conservation), les responsabilités liées aux traitements.
  • Décrire les moyens supports des traitements (matériels, logiciels, réseaux, personnes, papiers).
  • Cette étape doit permettre également d’évaluer « la nécessité et de la proportionnalité des opérations de traitement au regard des finalités » (RGPD article 35 – 7);

2- Les mesures:

  • Identifier les mesures existantes ou prévues.
  • Ces mesures sont les mesures juridiques imposées par la réglementation (droits des personnes et information à leur fournir) et les mesures de sécurité pour les protéger (mesures organisationnelles et techniques).

3- Les risques:

  • La définition proposée du risque le décompose en deux parties pour faciliter son identification et analyse.
    • D’un côté on évalue ce que l’on craint sur les traitements (perte, divulgation, corruption des données avec les impacts sur la vie privée) et le niveau de gravité de ces événements redoutés.
    • De l’autre, les menaces et leur source ciblant les supports des traitements et pouvant mener aux événements redoutés.
  • La vraisemblance de réalisation de ces scénarios est évaluée en considérant les vulnérabilités identifiées ou potentielles et sur les mesures de sécurité. La combinaison des événements redoutés et des scénarios de menaces donne des risques, et les niveaux de risques s’évaluent en considérant la vraisemblance du scénario et la gravité des impacts identifiés.

4- La décision:

  • Elle consiste à valider le choix des mesures existantes et prévues permettant de traiter les risques.
  • Ainsi, si les mesures ne sont pas suffisantes, un plan d’actions est défini pour en proposer de nouvelles.
  • L’analyse est alors révisée pour prendre en compte ces nouveaux paramètres, et ce jusqu’à ce que les niveaux de risques permettent de prendre la décision de les accepter.

Cette étape donnera lieu à l’établissement d’une cartographie des risques.

Alsaperfo CartoRisques

On peut trouver l’outil téléchargeable concernant l’analyse d’impact sur le site de la CNIL, en suivant ce lien.

alsaperfo PIA


D’autres étapes dans le RGPD

Outre la nomination d’un DPO, et l’analyse d’impact vue plus haut, le RGPD comprend également la mise en place de procédures de collecte et de traitement des données (Cela comprendra également les procédures de stockage et de transfert). Il devrait être documenté un registre des traitements permettant d’identifier et de cartographier ces derniers. Il s’agit également de garantir la sécurité des systèmes d’informations et des données via la mise en place de restrictions d’accès basés sur le principe du « need to know », la mise en place éventuelle de processus de chiffrement de fichiers (en bref, tout mettre en place pour éviter la perte volontaire, ou non, la détérioration, la perte d’intégrité des données à caractère personnel).

Finalement, au sein de la structure, il faudra intégrer une sensibilisation régulière  en apportant les informations nécessaires relatives aux menaces actuelles, aux évolutions normatives, à ‘utilisation des données, mais également en sensibilisant sur la nécessité de se conformer aux règles et en présentant les répercussions potentielles en cas de non respect de ces dernières.

En résumé.

Le RGPD n’est pas qu’un sujet juridique, il concerne directement toutes les fonctions d’une entreprise.

La qualité, la confidentialité, le respect des règles de traitement est un sujet qui concerne chaque acteur de l’entreprise.

  • Le RGPD permet d’avoir une vision clarifiée des données dont dispose l’entreprise
  • La confiance partagée améliorera la relation entre entités (entreprise/clientèle)
  • L’optimisation du traitement permettra de qualifier les bases de données plus efficacement et ainsi d’augmenter les performances globales émanant du traitement et de l’utilisation des données présentes.

Le non respect de la réglementation expose les contrevenants à des sanctions pouvant atteindre jusqu’à 4% du chiffre d’affaires annuel ou 20 millions d’euros.!!

Sans parler de la dégradation de la réputation