Ce qu’il faut retenir :
Données personnelles : toute informations relatives à une personne physique identifiée ou identifiable (nom, prénom, n° d’identification, localisation, identifiant en ligne, etc.)
Critères d’application : lorsqu’une organisation traite des données personnelles et dès qu’un résident de l’UE est visé par le traitement de données.
Type de données sensibles : origine de la personne, orientation politique/philosophique/religieuse, appartenance syndicale, données de santé, orientation sexuelle, génétique ou biométrique, infraction ou condamnation pénale.
Actions pour la mise en conformité (pour une asso) : prévoir des mentions d’information (qui ? combien de temps ? à quelle fin ? les droits), faire un registre de traitement des données, répondre aux sollicitations, prévoir des clauses en cas de sous-traitance.
Collecte de données sur un site :
- Pour usage personnelle : le RGPD ne s’applique pas
- Cadre professionnelle (pour générer des revenus) : le RGPD s’applique
DPO : la désignation d’un délégué est obligatoire peu importe la taille de l’entreprise.
Label RGPD ? : oui, mais pas obligatoire pour prouver la conformité àprincipe d’accountability
Sanctions : soit 4% du chiffre d’affaires annuel mondial ou 20 millions d’€ (c’est la somme la plus importante qui est retenue) – l’Etat ne peut pas avoir de sanction financière, mais des sanctions publiques.
Le RGPD n’est pas une préconisation mais bien un cadre qui définit ce qui est attendu en termes de protection des données personnelles et les organisations vont devoir s’y conformer.
Guide de sécurité : https://www.cnil.fr/fr/guide-de-la-securite-des-donnees-personnelles