KYOCERA DOCUMENT SOLUTIONS - ftp.kyonet.frftp.kyonet.fr/public/file/G79ytpmraE_elEHnRs2WDg/GDPR...

13
KYOCERA DOCUMENT SOLUTIONS : UNE INTRODUCTION AU RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES

Transcript of KYOCERA DOCUMENT SOLUTIONS - ftp.kyonet.frftp.kyonet.fr/public/file/G79ytpmraE_elEHnRs2WDg/GDPR...

KYOCERA DOCUMENT SOLUTIONS : UNE INTRODUCTION AU RÈGLEMENT

GÉNÉRAL SUR LA PROTECTION DES DONNÉES

2

#1 RGPD – RÉSUMÉ 3

#2 INTRODUCTION : PROTECTION DES DONNÉES DANS L’UE 4

#3 RGPD – APERÇU DE LA CONFORMITÉ / RÉGLEMENTATION 5

#4 RGPD ET TECHNOLOGIE 8

#5 LES 5 PLUS GRANDS MYTHES DÉMENTIS 10

#6 RGPD - GLOSSAIRE DES TERMES 12

TABLE DES MATIÈRES

CLAUSE DE NON-RESPONSABILITÉCe document a été préparé à des fins d’information générale uniquement et pour vous permettre d’en savoir plus sur le RGPD.Les informations présentées ne constituent pas des conseils juridiques et ne doivent pas être considérés comme tels, peuvent ne pas être actuelles et être modi-fiées sans préavis. Consultez un avocat en cas de doute.

système de gestion des contenus/documents et du chiffrement, y compris le chiffrement des PC, serveurs, réseaux et disques durs des imprimantes, car cela peut diminuer l’impact en cas d’infraction des données. Ces outils apporteront des bénéfices automatisés en termes de traitement des données personnelles comme l’identification/classification, le contrôle, le suivi et, plus important, les échelles de temps nécessaires à la suppression ou la conservation des données conformes au respect des délais et directives du RGPD.

Si cela n’est pas déjà fait, les organisations devraient sans tarder commencer immédiatement l’audit de leurs pratiques, de leurs politiques et de leurs équipements existants relatifs aux données et à mettre en place une planification de la mise en œuvre des nouveaux changements nécessaires aux fins de mise en conformité avec les directives et d’observation des délais du RGPD.

La Commission européenne travaillera en étroite collaboration avec les Autorités responsables de la protection des données des États membres (voir considérant 20 [1*]), dans le cas de la France, Commission Nationale de l’Informatique et des Libertés (CNIL), afin d’assurer l’application uniforme des nouvelles règles, et elle s’emploiera à informer les citoyens de leurs droits et les sociétés de leurs obligations.

Le nouveau Règlement général relatif à la protection des données (RGPD) est le développement le plus significatif intervenu au cours des 20 dernières années dans le domaine de la confidentialité des données, et il affectera les organisations à l’échelle mondiale. Le RGPD porte sur la protection des données personnelles des citoyens européens ou en relation avec des citoyens européens. Cette identification peut être directe ou indirecte. Étant donné qu’elle est applicable globalement aux citoyens européens, elle n’est pas spécifique aux frontières européennes et s’appliquera également aux organisations hors d’Europe (partout où les données seront stockées et/ou traitées).

Au vu de l’application territoriale ample du RGPD, les entreprises ont jusqu’au 25 mai 2018 pour envisager et mettre en place les dispositions nécessaires au respect de ce nouveau règlement, faute de quoi elles risqueront une amende de 20 millions d’euros (ou 4 % de leur chiffre d’affaires mondial annuel, le montant le plus élevé) pour toute fuite de données personnelles résultant de leur non-conformité.

En outre et au-delà de la prise de conscience initiale requise et de la définition d’une approche propre à traiter ce problème, une partie de la solution pourrait consister à mettre en place un

#1 RGPD - RÉSUMÉ

* Le considérant 20 établit comme suit : « 20) Considérant que l’ établissement, dans un pays tiers , du responsable du traitement de données ne doit pas faire obstacle à la protection des personnes prévue par la présente directive; que, dans ce cas, il convient de soumettre les traitements de données effectués à la loi de l’État membre dans lequel des moyens utilisés pour le traitement de données en cause sont localisés et de prendre des garanties pour que les droits et obligations prévus par la présente directive soient effectivement respectés »… (Source : RGPD)

3

LE RGPD EST UN RÈGLEMENT

CONÇUS POUR RENFORCER

LA PROTECTION DE TOUTES

LES DONNÉES PERSONNELLES

RELATIVES AUX CITOYENS DE

L’UNION EUROPÉENNE

«

«

4

La Directive relative à la protection des données de l’UE (Directive 95/46/EC)

En 1998, la Loi relative à la Protection des Données (DPA) a été promulguée pour aligner la loi britannique sur la Directive relative à la Protection des Données de l’UE de 1995 (officiellement Directive 95/46/CE).

Le but principal était de fournir une protection aux individus (c’est-à-dire le traitement des données personnelles) conforme à la liberté de mouvement des personnes et des biens dans l’UE. En pratique, cela a fourni aux individus une manière de contrôler les informations à leur sujet, et sept principes régissant la directive 95/46/CE ont ainsi été introduits. Ces principes sont :

Le Règlement relatif à la protection des données (RGPD) (officiellement Règlement (UE) 2016/679)

Adopté en avril 2016, le Règlement général relatif à la protection des données (RGPD - officiellement Règlement (UE) 2016/679 relatif à la protection des données du Parlement européen) remplacera les Directives relatives à la Protection des Données (( y compris la Loi relative à la Protection des Données de 1998

#2 PRÉSENTATION DE LA PROTECTION DES DONNÉES DANS L’UE

(DPA)) sans qu’aucune législation nationale supplémentaire soit nécessaire. Le RGPD sera applicable dans toute l’Europe dès le 25 mai 2018.

L’objectif principal du RGPD est de restituer aux citoyens le contrôle renforcé de leurs données personnelles. Ce sera aussi le moyen de renforcer et d’ unifier la protection des données des individus hors de l’Union européenne (UE), et aussi de traiter l’exportation des données personnelles hors de l’UE. Si au sein de votre organisation des données sont violées, conformément à la nouvelle norme de conformité de l’UE, et en fonction de la sévérité de l’infraction, les dispositions suivantes seront applicables :

une organisation doit prévenir les autorités locales responsables de la protection des données et, potentiellement, les propriétaires des dossiers victimes de l’infraction, etune organisation peut être sanctionnée jusqu’à 4 % de son chiffre d’affaires mondial, ou 20 millions d’euros.

Cependant, le RGPD prévoit des exceptions si les contrôles de sécurité appropriés étaient en place dans les organisations. Par exemple, une organisation ayant subi une infraction et qui aurait rendu les données inintelligibles par chiffrement pour toute personne non autorisée à y accéder ne serait pas tenue de prévenir les propriétaires des dossiers concernés. C’est quelque chose d’important à prendre en compte ; bien qu’il ne s’agisse pas d’un point essentiel, il sera utile afin de vérifier la conformité avec le RGPD et, éventuellement, d’éviter une sanction.Les chances de recevoir une sanction sont réduites aussi si l’organisation est en mesure de démontrer qu’une « infraction sécurisée » a eu lieu. Pour répondre aux exigences de conformité du RGPD, les organisations pourraient avoir besoin d’employer une ou plusieurs méthodes de chiffrement dans les environnements physiques et sur le cloud, y compris celui-ci :

chiffrement de serveurs y compris par fichier, application, base de données et machine virtuelle par disque complet ;PC et disques durs périphériques, y compris ceux des imprimantes, par chiffrement des données ;stockage par chiffrement des stockages réseau et du réseau de domaine de stockage, etréseaux, par exemple par chiffrement de réseau à haute vitesse, VPN.

Avis - Les personnes concernées doivent être prévenues quand leurs données sont collectées ;But - Les données doivent être utilisées uniquement aux fins déclarées et non à d’autres fins ;Consentement - Les données ne doivent pas être divulguées sans le consentement de la personne concernée ;Sécurité - Les données collectées doivent être protégées de tout abus potentiel ;Divulgation - Les personnes concernées doivent savoir qui collecte leurs données ;Accès - Les personnes concernées doivent être autorisées à accéder à leurs données et à corriger toutes données non correctes, etResponsabilité - Les personnes concernées doivent disposer d’une méthode leur permettant de tenir pour responsables les collecteurs de données qui ne suivraient pas les principes ci-dessus.

5

Définition améliorée du consentement : Le communiqué de presse du Parlement européen souligne les dispositions du RGPD concernant le consentement clair et affirmatif au traitement des données privées par la personne concernée afin de donner plus de contrôle sur leurs données aux utilisateurs. Cela pourrait signifier, par exemple, qu’il faille cocher une case quand on visitera un site internet, ou réaliser une autre déclaration ou action indiquant clairement l’acceptation du traitement proposé des données personnelles. Par conséquent, le silence, les cases pré-cochées ou l’inactivité ne constitueront pas un consentement. Il devra également être aussi facile pour le consommateur de retirer son consentement que de le donner. Le nouveau RGPD met également un terme aux politiques de confidentialité « en petites lettres » : les informations doivent désormais être données dans un langage clair avant que les données soient collectées.

Le Droit à l’oubli (considérant 66) – indique que « Afin de renforcer le «droit à l’oubli» numérique, le droit à l’effacement devrait également être étendu de facon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d’informer les responsables du traitement qui traitent ces données à caractère personnel qu’il convient d’effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci. Ce faisant, ce responsable du traitement devrait prendre des mesures raisonnables, compte tenu des technologies disponibles et des moyens dont il dispose, y compris des mesures techniques afin d’informer les responsables du traitement qui traitent les données à caractère personnel de la demande formulée par la personne concernée».

La structure de la Directive européenne originale relative à la Protection des données (Directive 95/46/CE) existe depuis octobre 1995. Les avancées des technologies de l’information comme Internet, les sites de réseaux sociaux, la banque en ligne, les solutions et services sur le cloud, etc. ont mis en évidence des lacunes de cette ancienne directive. Par conséquent, le 27 avril 2016, le nouveau règlement relatif à la protection des données (UE) 2016/679 du Parlement européen a remplacé effectivement l’ancienne directive. Elle est plus généralement connue comme le Règlement général relatif à la protection des données, (RGPD) et son objectif principal vise à simplifier le flux et la réglementation relatifs aux données personnelles à travers les 28 États membres de l’UE.

Les fonctionnalités et changements principaux de la DPR par rapport à la Directive européenne relative à la Protection des Données sont les suivants :

Règlement / Directive : le nouveau règlement relatif à la protection des données - (UE) 2016/679 du Parlement européen / Règlement général relatif à la protection des données est un règlement. Cela signifie que le même règlement est passé et applicable dans les 28 États membres de l’UE et qu’il n’y a pas de « clones/interprétation » pour chaque État de l’UE (comme ce serait le cas pour une directive).

Augmentation significative des sanctions : Les entreprises peuvent être sanctionnées jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires mondial annuel pour les violations de la loi relative à la protection des données. Le niveau de sanction imposé dépendra de la gravité ou du caractère répétitif de l’infraction. Cet aspect sera déterminé par une autorité de contrôle du pays considéré.

#3 RGPD - APERÇU DE LA CONFORMITÉ / RÉGLEMENTATION

RGPD PREND D’IMPORTANTES

MESURES DÉCISIVES POUR

RENFORCER LES DROITS DES

INDIVIDUS À PROTÉGER ET

CONTRÔLER LEURS DONNÉES

«

«

6

l’ancienne directive, le RGPD place au-delà du doute raisonnable le critère utilisé pour identifier les personnes et inclut spécifiquement les « données de localisation » et « un identifiant en ligne » (par ex. critères d’identification uniques en ligne (voir définition des « données personnelles » - Glossaire des Termes)).

Signalisation obligatoire des infractions : Le RGPD impose aux responsables du traitement des données de signaler les infractions relatives aux données sans délai excessif et, quand cela est possible, pas plus de 72 heures après en avoir pris connaissance. Cela doit être signalé à l’autorité nationale de protection des données (CNIL dans le cas de la France). « Lors de l’évaluation des risques de sécurité des données, il faut prendre en compte les risques qui sont présentés par le traitement des données personnelles, comme la destruction accidentelle ou illégale, la perte, la divulgation non autorisée ou l’accès aux données personnelles transmises, stockées ou traitées de toute autre facon et qui peuvent en particulier mener à des dommages physiques, matériels ou immatériels ». Vous êtes exempté si les informations ne sont pas susceptibles de causer des dommages personnels et ne sont pas à haut risque pour l’individu. Les données chiffrées sont exemptées de rapport.

Établissement hors de l’UE/extra-territorialité : La directive s’appliquera à toutes les organisations, qu’elles aient ou non une présence dans l’UE - cela veut dire que si une organisation vend ou propose des biens et services dans l’UE, elle doit respecter le RGPD. La loi est donc applicable si vous résidez dans l’UE, si vous proposez des services à des résidents de l’UE ou si vous contrôlez le comportement de résidents de l’UE.

Délégués à la protection des données : les entités seront tenues de nommer un délégué à la protection des données (DPO) qui, à grande échelle et dans le cadre de ses activités principales, devra régulièrement et systématiquement contrôler les personnes concernées ou traiter les données personnelles sensibles. Les PME (entreprises de moins de 250 employés) seront exemptées s’il ne s’agit pas de leur activité principale. Une organisation de moins de 250 employés est dispensée de conserver des archives (sauf si elle traite des données personnelles classées comme étant à haut risque).

Les 3 critères principaux en fonction desquels vous devez nommer des DPO (article 35) sont applicables si votre activité principale consiste dans :

le contrôle systématique d’individus « à grande échelle » ;le traitement « à grande échelle » de données sensibles, ou le caractère obligatoire pour les autorités publiques.

Un DPO peut occuper un poste à temps partiel ou combiné avec d’autres tâches. Dans l’exercice de ce poste, le DPO doit cependant avoir un rattachement hiérarchique indépendant (comme la plupart des délégués à la conformité), être responsable et être responsable directement auprès du conseil d’administration, sans interférence.

Le droit à la portabilité des données : Individus ont/auront droit de disposer de mécanismes plus simples pour le transfert de leurs données personnelles entre les fournisseurs de service, même si des inquiétudes ont été indiquées concernant la charge administrative que cela peut causer aux responsables du traitement des données. L’article 20 du RGPD énonce :

1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque :

a. le traitement est fondé sur le consentement en application de l’article 6, paragraphe 1, point a), ou de l’article 9, paragraphe 2, point a), ou sur un contrat en application de l’article 6, paragraphe 1, point b) ; et

b. le traitement est effectué à l’aide de procédés automatisés.

2. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible.

3. L’exercice du droit, visé au paragraphe 1 du présent article s’entend sans préjudice de l’article 17. Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

4. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers».

Observation étendue : les responsables et titulaires du traitement doivent démontrer leur observation du RGPD en adoptant un traitement détaillé des archives. Responsabilité directe des titulaires et responsables du traitement de l’information : selon l’ancien règlement, il n’y avait pas d’obligation pour les titulaires (comme les fournisseurs de service) de données ou informations. Selon le RGPD, les titulaires sont directement responsables des règles de protection des données. Cela a un impact particulier par exemple sur les fournisseurs de cloud, qui fournissent des services contenant des données de résidents de l’UE. Les effets des éléments ci-dessus peuvent être pondérés par l’intégration d’un système de gestion de contenu (GED/ECM). Par exemple, des informations concernant l’identité du titulaire, l’identité du responsable du traitement, les personnes concernées incluses dans le contrôle, les catégories de données, les données sensibles, etc., sont requis pour répondre aux exigences de conformité étendues.

Éléments d’identification directs et indirects : par contraste avec

7

Les autres changements du RGPDDemandes d’accès aux données : Les frais réglementaires de 6,35 € pour une demande d’accès seront définitivement supprimés. Cependant, les organisations disposeront d’une nouvelle disposition concernant les demandes recues manifestement infondées ou excessives, auquel cas le responsable du traitement pourra demander un paiement raisonnable ou refuser de satisfaire la demande. Il est par exemple possible que dorénavant les autorités de contrôle d’un pays collectent de l’argent sous forme d’amendes, et non en fonction des demandes d’accès aux données réglementaires.

Guichet unique : On s’attendait à ce que la proposition initiale de la Commission concernant un mécanisme de guichet unique soit considérablement atténuée. Mais, dans l’état actuel des choses, les multinationales qui ont des établissements multiples à travers l’Europe auront affaire à l’autorité de contrôle de l’État membre où la société a son « établissement principal ». Il y a cependant des circonstances dans lesquelles l’autorité de contrôle devra consulter, et coopérer avec les autorités d’autres États membres concernés.

La date effective d’entrée en vigueur est le 25 mai 2018 : Toutes les organisations qui traiteront des informations identifiables personnellement (IIP) de résidents de l’UE devront respecter un certain nombre de dispositions, faute de quoi elles s’exposeront à des amendes significatives.

8

De nombreuses entreprises ne savent pas comment approcher et commencer à classer des données qui peuvent être stockées dans différents systèmes informatiques. De nombreuses technologies de traitement et de classification des données automatisées sont désormais disponibles sur le marché, y compris certaines fournies par KYOCERA qui peuvent être utilisées en tant que solution dans ce domaine.

Le chiffrement des données est une technologie de protection des données mentionnée dans le RGPD et, encore une fois, l’article 32 suggère la « pseudonymisation et le chiffrement des données ; la capacité à assurer la confidentialité, l’intégrité, la disponibilité et la résilience du traitement, la capacité à restaurer des données après un incident, et un processus de test, d’estimation et d’évaluation de l’efficacité de la sécurité ». Cela est couvert dans la section 5 du présent document.

L’idée générale, c’est de savoir si vous, en tant qu’organisation, pouvez défendre devant les tribunaux les actions et les processus que vous avez exécutés afin de mettre en œuvre le RGPD, limitant ainsi la responsabilité de l’entreprise et le risque de sanction. En d’autres termes, votre entreprise a-t-elle été capable d’évaluer les responsabilités idoines concernant la protection des données et de décider en conséquence ?

Bien que l’aspect vague de ce domaine puisse rendre l’interprétation de la réglementation difficile, nous pensons chez KYOCERA que la mise en place d’une/de solution(s) technique(s) permettra de respecter le RGPD plus facilement et efficacement qu’au moyen du traitement manuel. C’est aussi probablement l’option la plus rentable pour progresser, compte tenu des exigences suivantes du RGPD :

précision des données (voir article 5 - données à jour) ;accès immédiat (voir article 15 - capacité d’une entreprise à satisfaire une Demande d’Accès d’une personne), et conservation et effacement des données (également connus comme droit à l’oubli (voir articles 16 et 17).

#4 RGPD ET TECHNOLOGIE

Le RGPD mentionne qu’il y a deux domaines technologiques principaux qui doivent être considérés lorsque l’on traite de la conformité des données personnelles :

1. La gestion des données : la collecte, la rétention et la destruction des données

2. La sécurité/le chiffrement des données : c’est-à-dire le traitement et la manipulation des données qui comprend le chiffrement des données par recours à une technologie spécifique. Malheureusement, le RGPD ne fournit pas d’instructions précises en termes de technologie (voir considérants 66, 67, 68, 71, 78, 81, 156, 168) et/ou de sécurité (voir article 32) à utiliser, et indique uniquement que des « mesures de protection technique de pointe » et « appropriées » doivent être mises en place. Cette imprécision est peut-être volontaire étant donné que la technologie « évolue » et que la technologie déployée devrait donc aussi « évoluer ». Cela peut donner lieu à des débats dans les tribunaux portant sur ce qui est considéré « de pointe » au moment d’une infraction potentielle.

9

MYTH #2 - JE DOIS NOMMER UN DÉLÉGUÉ À LA PROTECTION DES DONNÉES INDÉPENDANT ET QUALIFIÉ (DPO)

Le DPO ne doit pas nécessairement être un employé à plein temps de votre organisation. Cette fonction peut être externalisée si vous le souhaitez.Si une/votre organisation ne remplit pas les critères ci-dessus, cela veut dire qu’elle n’a pas besoin de nommer une personne extérieure. En fait, il peut s’agir d’un employé, même à temps partiel ou encore exercant différentes fonctions. Mais dans l’exécution de ses fonctions, le DPO doit cependant avoir un rattachement hiérarchique indépendant (comme la plupart des délégués à la conformité), être responsable directement auprès du conseil d’administration, sans interférence. Ce qui est important, c’est que la personne nommée soit spécialisée dans la protection des données et qu’elle ait des connaissances « expertes » concernant la loi et les pratiques de protection des données lui permettant de faire en sorte que votre organisation atteigne les objectifs de conformité et qu’elle les perpétue.

La personne nommée devrait, idéalement, mettre en œuvre une stratégie et un projet dont l’objectif principal consiste à se conformer au RGDP, ou même à en surpasser les principes. Le projet doit comporter la mise en œuvre de mesures techniques, procédurales et organisationnelles propre à démontrer la conformité.

MYTH #1 - JE NE SUIS ABSOLUMENT PAS RESPONSABLE DU STOCKAGE DE MES DONNÉES ET JE NE SUIS DONC PAS RESPONSABLE CONCERNANT LE RGPD

Selon le RGPD, les responsables et les titulaires du traitement des données sont également responsables et doivent montrer leur conformité avec le RGPD en adoptant un système de traitement des archives/informations. Selon l’ancienne réglementation, il n’y avait pas d’obligation pour les titulaires (comme les fournisseurs de service) de données ou informations. Cependant, selon le RGPD, les titulaires sont directement responsables des règles de protection des données. Cela a un impact particulier, par exemple sur les fournisseurs de cloud, qui fournissent des services contenant des données de résidents de l’UE.

Les effets ci-dessus peuvent être pondérés par la mise en place d’un système ECM en utilisant un système approprié de gestion de documents. Par exemple, des informations concernant l’identité du titulaire, celle du responsable du traitement, les personnes concernées par le contrôle, des catégories de données, des données sensibles, etc.

Les entreprises doivent utiliser le RGPD comme pierre angulaire du processus de pondération des risques. Il n’y a plus de limitation de responsabilité car le responsable du traitement et les titulaires sont désormais responsables à parts égales en cas de violation de données (voir articles 24, 26, 27, 28 et 29).

#5 RGPD - LES 4 PLUS GRANDS MYTHES DÉMENTIS.

LES ENTREPRISES DEVRAIENT

UTILISER LE RGPD COMME PIERRE

ANGULAIRE DU PROCESSUS

D’ATTÉNUATION DES RISQUES

««

10

MYTH #4 - TOUS MES SYSTÈMES SONT CHIFFRÉS, JE SUIS DONC EN CONFORMITÉ AVEC LE RGPD

En termes de sanctions, le RGPD fournit d’importantes exceptions basées sur le fait que les contrôles de sécurité appropriés soient déployés dans les organisations. Par exemple, une organisation concernée par une infraction mais ayant rendu les données inintelligibles, en les chiffrant, à toute personne non autorisée à y accéder ne devra pas obligatoirement prévenir les propriétaires des archives affectées. C’est un élément important à prendre en compte bien qu’il n’épuise pas la question, mais il permettra de faciliter la mise en conformité avec le RGPD et de pondérer le risque d’exposition à une amende.

MYTH #3 - J’AI MIS EN PLACE UN SYSTÈME DE GESTION DE CONTENUS / DE DOCUMENTS, ET JE RESPECTE DONC LE RGPD

Malheureusement, le RGPD ne fournit pas de directives exactes en termes de technologie et/ou de sécurité à utiliser et ne cite que des « mesures de protection techniques de pointe » et « appropriées » à mettre en œuvre. Cela est peut-être volontairement vague étant donné que la technologie « évolue », et que la technologie déployée devrait donc aussi « évoluer ». Cela peut donner lieu à des débats devant les tribunaux portant sur ce qui est considéré « de pointe » à l’occasion d’une infraction potentielle.

Bien que le caractère vague de ce domaine rende difficile l’interprétation de la réglementation, chez KYOCERA nous pensons qu’il est logique de dire que la mise en place d’une solution technique comme un système de gestion des contenus rendra la conformité avec le RGPD plus facile et plus efficace, par opposition au traitement manuel. Cependant, faute de processus idoines et si l’on ne se concentre pas sur ce que le RGPD appelle « l’incarnation du concept de confidentialité par la conception », le seul fait de disposer d’un système de gestion de contenus ne suppose pas la conformité avec le RGPD - même s’il permet un contrôle plus rigoureux des données personnelles et de l’accès à celles-ci, s’il est appliqué correctement.

11

RGPD - Le Règlement général sur la protection des données (RGPD) (règlement (UE) 2016/679) est un règlement par lequel le Parlement européen, le Conseil et la Commission visent à renforcer et unifier la protection des données concernant les individus au sein de l’Union européenne (UE). Le RGPD porte sur la protection des données personnelles de citoyens européens ou en relation avec ceux-ci

Données personnelles - « toute information liée à une personne physique identifiée ou identifiable ». L’identification peut être directe ou indirecte et inclure des identifiants comme « un nom, un numéro d’identification, des données de localisation, une identité en ligne, un ou plusieurs facteurs spécifiques de l’identité physique, physiologique, génétique, mentale, culturelle ou sociale de cette personne » (voir Article 4 [1]). Le profilage est également inclus, et il comprend « l’évaluation de la performance d’une personne au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements » (voir RGPD, Article 4 [4]). Aux fins de ce document - Les données personnelles peuvent également être mentionnées comme Informations Identifiables Personnellement ou IIP (voir ci-dessous)

Violation de données personnelles - une violation de la sécurité qui mène à un accès accidentel ou illégal, à la destruction, à l’utilisation à mauvais escient, etc., de données personnelles

Respect de la vie privée dès la conception - un principe nécessitant l’inclusion de la protection des données dans la conception des systèmes plutôt que son intégration dans celle-ci à titre complémentaire.

Informations identifiables personnellement (IIP) - Informations pouvant être utilisées seules ou avec d’autres informations pour identifier, contacter ou localiser une personne ou pour identifier un individu dans un contexte

Évaluation d’impact sur la confidentialité - un outil utilisé pour identifier et réduire les risques d’exposition de la confidentialité des entités, mettant en œuvre l’analyse des données personnelles traitées et les politiques de protection des données mises en place

Traitement - toute opération, automatisée ou non, réalisée sur les données personnelles, y compris la collecte, l’utilisation, l’enregistrement, etc.

Consentement - consentement librement donné, spécifique, informé et explicite, sous forme de déclaration ou d’action signifiant l’accord avec le traitement des données personnelles

Responsable du traitement des données - l’entité qui détermine les objectifs, conditions et moyens de traitement des données personnelles

Suppression des données - également appelée Droit à l’oubli (RTBF), elle autorise la personne concernée à obliger le responsable du traitement à supprimer ses données personnelles, à en cesser la diffusion ultérieure et, potentiellement, à obliger des tiers à en cesser le traitement

Titulaire du traitement des données - l’entité qui traite les données au nom du Responsable de leur traitement

Autorité de Protection des Données - Une autorité nationale qui a pour tâche la protection des données et de la confidentialité, ainsi que le contrôle et l’application des réglementations de protection des données dans l’Union. Pour la France la Commission Nationale de l’Informatique et des Libertés (CNIL) - https://www.CNILfr

Délégué à la protection des données - un expert indépendant en confidentialité des données qui s’emploie à assurer qu’une entité adhère aux politiques et procédures établies dans le RGPD

Personne concernée - une personne physique dont les données personnelles sont traitées par un responsable ou un titulaire du traitement

Directive - un acte législatif qui établit un objectif que tous les pays de l’UE doivent atteindre en s’appuyant sur leurs propres lois nationales

Données chiffrées - données personnelles protégées par des mesures technologiques en sorte que les données soient accessibles/lisibles uniquement par les personnes qui ont un accès spécifié

Entreprise / Organisation - une entité engagée dans des activités économiques, quelle que soit sa forme juridique, comprenant les personnes, les partenariats, les associations, etc.

Système d’archivage - tout ensemble spécifique de données personnelles accessible conformément à des critères spécifiques ou exigibles

#6 GLOSSAIRE DES TERMES

12

Pseudonymisation des données - une procédure par laquelle les champs les plus identifiants dans un fichier de données sont remplacés par un ou plusieurs identifiants artificiels ou pseudonymes. Il peut y avoir un seul pseudonyme pour un ensemble de champs remplacés ou un pseudonyme par champ remplacé (Source – Wikipédia)

Destinataire - entité à laquelle les données personnelles sont communiquées

Réglementation - un acte législatif qui doit être intégralement appliqué dans toute l’Union européenne

Représentant - toute personne de l’Union désignée explicitement par le responsable du traitement devant être jointe par les autorités de contrôle

Droit à l’oubli (RTBF) – également connu comme suppression des données, il autorise la personne concernée à obliger le responsable du traitement des données à supprimer ses données personnelles, à en cesser la diffusion ultérieure et, potentiellement, à obliger des tiers à en cesser le traitement

Droit d’accès - également connu comme Droit d’Accès du Sujet, il autorise la personne concernée à accéder aux informations personnelles et aux informations en relation avec celles-ci détenues par un responsable du traitement

Droit d’accès du sujet - également connu comme Droit d’Accès, il autorise la personne concernée à accéder aux informations personnelles et aux informations en relation avec celles-ci détenues par un responsable du traitement

Autorité de contrôle - une autorité publique établie par un État membre conformément à l’article 46

(Source - Glossaire RGPD de l’UE sauf indication contraire)

KYOCERA Document Solutions FranceEspace Technologique de Saint-Aubin, route de l’Orme, 91195 Gif-sur-Yvette, FranceTél. : +33 (0) 1 69 85 26 00 www.kyoceradocumentsolutions.fr

KYOCERA Document Solutions BelgiumSint-Martinusweg 199-201, BE-1930 Zaventem, BelgiumTél. : +32 (0)2 720 92 70 Fax : +32 (0)2 720 87 48 [email protected]

KYOCERA Document Solutions Europe B.V., Succursale SuisseHohlstrasse 614, CH 8048 Zürich, SuisseTél. : +41 (0)44 908 49 49 Fax : +41 (0)44 908 49 [email protected]