LegaVote :
A quoi sert le règlement RGPD et comment l’appliquer concrètement ?

Le système juridique européen n’a de cesse de s’adapter aux évolutions technologiques de son temps. C’est dans cette démarche que le RGPD (Règlement Général sur la Protection des Données) a été créé en 2016 et appliqué en 2018. Ce règlement s’inscrit dans la continuité de la Loi française informatique et Libertés de 1978 en renforçant davantage la sécurisation des données. LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles (1) - Légifrance. Avant d’entrer plus en détail sur le RGPD, rappelons ce que représente une donnée personnelle au regard de la loi.
Par définition, une donnée personnelle représente “toute information se rapportant à une personne physique identifiée ou identifiable”. Concrètement, on parle par exemple d’un nom ou prénom, d’un numéro de téléphone, d’un identifiant, d’une donnée biométrique ou même d’une photo. Leur traitement rassemble plusieurs actions que les entreprises peuvent effectuer par rapport à ces informations comme les collecter, les enregistrer, les conserver ou même les diffuser. Attention : un traitement de données personnelles n’est pas nécessairement informatisé, il peut également s’agir de fichiers papiers.

Le RGPD permet donc d’établir un cadre clair autour du traitement des données personnelles sur l’ensemble du territoire européen. Il concerne toutes les entreprises, qu’elles soient publiques ou privées, qui manipulent des données personnelles. Le règlement RGPD doit être respecté même si une entreprise traite avec des clients hors union-européenne. Cela est également transférable sur une situation d’entreprise basée à l’étranger qui traite avec des clients français. Cette règle permet d’éviter une forme de concurrence déloyale entre les entreprises de pays différents. Enfin, le RGPD concerne aussi les sous-traitants qui gèrent les données personnelles pour d’autres organismes.
L’enjeux du RGPD est d’assurer la sécurité du stockage des données personnelles et la mauvaise utilisation de ces dernières. Il s’agit de restaurer un certain niveau de confiance entre les entreprises et leurs clients et de redonner le contrôle aux citoyens concernant leurs données personnelles. Pour cela, le RGPD oblige les entreprises à faire des rapports auprès de la CNIL (Commission nationale de l’informatique et des libertés) en détaillant leur utilisation des données.
Si vous rencontrez une violation de données susceptible de représenter un risque pour les droits et libertés des personnes concernées, vous devez la signaler à la CNIL dans les 72 heures. En cas de risques élevés suite à cette perte de données, il est obligatoire de notifier les personnes concernées.

Comment est-ce qu’une entreprise peut s'assurer de sa bonne conformité vis-à-vis du RGPD ? Plusieurs actions sont à effectuer. Le recensement des fichiers porteurs de données personnelles est la première étape à effectuer. Un modèle de registre est disponible sur le site de la CNIL pour vous accompagner dans cette démarche. Le registre des activités de traitement | CNIL. Dans ce registre, qui est sous la responsabilité du chef d’entreprise, chaque information personnelle doit être liée à un objectif : le but est de faire savoir pourquoi une certaine information a été collectée. Il faut préciser également pendant combien de temps ces données seront conservées.
Suite à cela, un tri s’impose. Il faut alors supprimer les informations qui ne sont pas nécessaires, vérifier les échéanciers de conservation des données et bloquer les personnes qui ne sont pas habilitées à consulter ces données. Le droit des personnes à divulguer leurs informations est très important et ne doit pas être ignoré. A chaque fois qu’un organisme recueille des informations, la personne concernée doit donner son consentement. L’organisme doit également expliquer dans quel but les informations sont collectées. Enfin, les personnes concernées doivent avoir facilement accès à un moyen de refus. Il est important de réduire le risque de perte de données ou de piratage en mettant à jour les antivirus et logiciels, en changeant régulièrement de mot de passe ou encore en chiffrant les données.
Si vous rencontrez une violation de données susceptible de représenter un risque pour les droits et libertés des personnes concernées, vous devez la signaler à la CNIL dans les 72 heures. En cas de risques élevés suite à cette perte de données, il est obligatoire de notifier les personnes concernées.
Enfin, une formation gratuite en ligne créée par la CNIL permet à ceux qui le souhaitent de mieux appréhender le règlement RGPD. Le MOOC de la CNIL est de retour dans une nouvelle version enrichie | CNIL.
LegaVote rentre dans le cadre des entreprises concernées par le RGPD, c’est pourquoi nous sommes très attentifs à la bonne application de cette dernière au sein de notre système. Comme évoqué dans notre article sur la sécurité (LegaVote : La sécurité et la conformité au service de la démocratie numérique - LegaVote), nous mettons en place différentes mesures afin de nous assurer continuellement de la conformité de nos systèmes. Ainsi, nous possédons deux serveurs localisés sur deux zones géographiques différentes afin de garantir une réplication des données et donc la conservation de ces dernières même en cas de faille. Toujours dans un souci de protection des données, nous mettons régulièrement en place des tests sur notre système en interne mais également avec des cabinets d’experts indépendants. Cela nous permet de maintenir un niveau d’efficacité optimal concernant nos systèmes de sécurité

Retour aux articles

À votre tour de passer au vote électronique

Bénéficiez d’un outil simple et d’un accompagnement tout au long de votre élection.

Demande de devis
  • Simple et rapide
  • Conforme RGPD
  • Bulletin anonymisé