« Conformité RGPD » : différence entre les versions

toutes les autorités nationales et adopte des lignes directrices, recommandations et avis contraignants pour assurer la cohérence de l'application du règlement à l'échelle européenne.\n\n=== Sanctions administratives ===\n\nL'article 83 du RGPD prévoit deux niveaux de sanctions administratives :\n\n* Jusqu'à '''10 millions d'euros''' ou 2 % du chiffre d'affaires annuel mondial pour les infractions aux obligations du responsable et du sous-traitant (registre, AIPD, DPO, sécurité, notification de violation).\n* Jusqu'à '''20 millions d'euros''' ou 4 % du chiffre d'affaires annuel mondial pour les infractions aux principes fondamentaux, aux droits des personnes et aux règles de transferts internationaux.\n\nLe montant le plus élevé est retenu. Parmi les amendes les plus significatives prononcées en Europe : Meta Platforms Ireland (1,2 milliard d'euros en mai 2023, record mondial), Amazon Europe Core (746 millions d'euros en juillet 2021), WhatsApp Ireland (225 millions d'euros en septembre 2021). En France, la CNIL a sanctionné Google LLC (50 millions d'euros en janvier 2019), Amazon Europe Core (35 millions d'euros en décembre 2021) et Microsoft (60 millions d'euros en décembre 2022).\n\n=== Sanctions pénales ===\n\nLe [[Droit pénal]] prévoit en France des sanctions complémentaires aux amendes administratives. L'article 226-17 du Code pénal punit de 5 ans d'emprisonnement et 300 000 euros d'amende le traitement de données en méconnaissance des mesures de sécurité prescrites. Le non-respect du [[Secret professionnel]] lors d'un traitement de données personnelles constitue par ailleurs un délit autonome (article 226-13 du Code pénal).\n\n== Démarche de mise en conformité ==\n\n=== Cartographie des traitements et registre ===\n\nLa première étape consiste à recenser tous les traitements de données personnelles : identification des catégories de données collectées, des finalités, des bases légales, des durées de conservation et des destinataires. Cette cartographie alimente le registre des activités de traitement (article 30) et permet d'identifier les traitements nécessitant une AIPD.\n\n=== Mesures techniques de sécurité ===\n\nL'article 32 impose des mesures techniques et organisationnelles appropriées au regard des risques. Les mesures recommandées par la [[Commission nationale de l'informatique et des libertés|CNIL]] et l'[[ANSSI]] incluent : le [[Chiffrement des données]] au repos et en transit, la [[Gestion des identités et des accès]], l'[[Authentification multifacteur]], les [[Pare-feu|pare-feux]], la Détection d'intrusion et les [[Test d'intrusion|tests d'intrusion]] périodiques. L'approche [[Modèle Zero Trust|Zero Trust]] est adoptée pour limiter l'accès aux seules personnes habilitées. La [[Sauvegarde informatique]] régulière, le [[Plan de continuité d'activité]], le [[Plan de reprise d'activité informatique]] et le recours à un [[Site de repli informatique]] complètent le dispositif de résilience face aux [[Ransomware|ransomwares]] et autres [[Cyberattaque|cyberattaques]]. L'identification des [[Vulnérabilité informatique|vulnérabilités informatiques]] par un [[Audit de cybersécurité]] constitue un prérequis à la mise en conformité technique.\n\n=== Formation et sensibilisation ===\n\nLes salariés amenés à traiter des données personnelles doivent être sensibilisés aux principes du RGPD, aux procédures internes et aux comportements à adopter face à des incidents tels que le [[Hameçonnage]] ou les tentatives d'intrusion. Des certifications spécialisées existent pour les DPO et les responsables de traitement. La [[Cyberassurance]] constitue un levier complémentaire pour couvrir le risque résiduel, en particulier pour les PME.\n\n=== Pilotage continu ===\n\nLa conformité RGPD est un processus permanent : mise à jour du registre, révision des AIPD lors de modifications substantielles des traitements, actualisation des contrats de sous-traitance, et [[Veille juridique]] sur les décisions des autorités de contrôle. La [[Directive NIS2]], transposée en France par la loi du 17 octobre 2024, crée des obligations de signalement des incidents de [[Cybersécurité]] qui recoupent partiellement les exigences de l'article 33 du RGPD pour les entités essentielles et importantes.\n\n== Enjeux sectoriels ==\n\n=== Secteur de la santé ===\n\nLes données de santé constituent des données sensibles au sens de l'article 9. En France, leur hébergement requiert une certification Hébergeur de Données de Santé (HDS), référencée à l'article L. 1111-8 du Code de la santé publique, délivrée par un organisme accrédité par le Comité français d'accréditation (Cofrac).\n\n=== Petites et moyennes entreprises ===\n\nLes PME sont pleinement soumises au RGPD dès lors qu'elles traitent des données personnelles. La [[Cybersécurité des PME]] représente un enjeu croissant : les PME constituent une cible fréquente de [[Cyberattaque|cyberattaques]] en raison de ressources limitées en matière de protection. La [[Cyberassurance]] constitue un levier complémentaire pour couvrir le risque résiduel.\n\n=== Travailleurs indépendants et professions libérales ===\n\nLes [[Travailleur indépendant|travailleurs indépendants]] et les [[Profession libérale|professions libérales]] sont pleinement soumis au RGPD dès lors qu'ils traitent des données personnelles dans le cadre de leur activité professionnelle. Les [[Professions libérales réglementées]] (médecins, avocats, experts-comptables, notaires) doivent concilier les obligations de transparence et d'information du RGPD avec le [[Secret professionnel]] qui leur est applicable.\n\n=== Intelligence artificielle ===\n\nLe déploiement de systèmes d'[[Intelligence artificielle]] traitant des données personnelles soulève des questions de conformité RGPD : licéité du traitement d'entraînement, minimisation des données, transparence algorithmique, droit à l'explication des décisions automatisées (article 22). Le Règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024 et applicable progressivement jusqu'en 2027, crée des obligations additionnelles pour les systèmes d'IA à haut risque, qui se superposent au RGPD.\n\n== Référentiels et normes connexes ==\n\nLa [[Commission nationale de l'informatique et des libertés|CNIL]] publie des référentiels sectoriels (santé, ressources humaines, gestion commerciale) et des recommandations techniques portant notamment sur les cookies, les mots de passe et les durées de conservation. L'[[ANSSI]] propose des guides de bonnes pratiques directement applicables à la conformité RGPD, dont le guide d'hygiène informatique (40 règles) et le guide sur l'authentification. La norme [[ISO/IEC 27017]] sur la sécurité des services cloud est fréquemment mobilisée en complément du RGPD pour les organisations hébergeant des données personnelles en environnement cloud. L'article 42 du RGPD prévoit des mécanismes de certification permettant aux responsables de traitement et sous-traitants de démontrer leur conformité via un organisme accrédité auprès du [[Comité européen de la protection des données|CEPD]]."}