RGPD
========================

Règlement Europén en 6 étapes

Source du droit : Droit de l'UE

La CNIL vérifie que le règlement europén est bien appliqué dnas le dorit interne.
En droit interne on a un protocole qui date de la loi informatique et libertés de 1978.

Pas un changement de ouf car on avait déja la plupart des règles en France.
CNIL propose 6 étapes :
**1 - Désignation d'un pilote**
Rôle du pilote ? c'est le délégué à la protection des données
il est obligatoire dans deux cas : 
- si on est un organisme public
- si votre entreprise vous amène à réaliser un suivi régulier et systématique de personnes à grande échelle ou si vous traitez des données sensibles ou encore si c sont des données relatives à la condamnation pénale et à des infractions

Même si l'entrprise n'est pas obligée, il est fortement recommandé d'en désigner un.

Rôle : 
- il est tenu d'informer et de conseiller tous les responsables de traitement des données
- lien entre autorité de controle (cnil) et l'entreprise.

**2 - Cartographier le traitement de données personnelles**

- Idntifier ce qui est données perso et ce qui ne l'est pas
- savoir pour chaque donnée, pourquoi on l'a
- identifier les flux de ces données 

pour chaque type de donnée perso, il faut se poser toute une série de qustions :
- qui gère la donnée ?
- quelle catégorie de donnée il s'agit ?
- pour quoi ?
- où stocke-t-on la donnée (y compris servur svg)
- jusqu'à quand ? chaque catégorie a règle de conservation spécifique
- comment ? quelles sont les mesures de sécurité qu'on va mettr en oeuvre ?

**3 - Prioriser les actions**

plus on a de données, plus c'est lourd. Il faut d'abord se concentrr sur le plus important : qui gère, où et avec quelle sécurité ?

**4 - Gérr les risques**
important d'anticiper la gestion des risques ! Permet d'orienter sur les premières missions à mener. faire étude d'impact de la protection des DP

**5 - Organiser un processus interne**

Arrive rà mettre en place protocole dna entrprise qui pourra répondr eà toutes questions de sécurité utile. (ex : commencer par campagne de sensibilisation). Le protocole doit être adapté à l'entrprises et aux données que l'on gère.
en cas de violation des données, on a 72h pour prévnir les autorités compétentes (cnil) et les personnes concernées sur la violation des données qui a eu lieu

** 6 - Crér un document  de la conformité**

il s'agit de réunir dans un même dossier l'nsemble des informations qu'on a pu mettre en place concernant l'entreprise. 
- Doit comporter obligatoirement la documentation sur le traitement des données personnelles. -  - Doit aussi comporter la doc relative à l'information des personnes
- et aussi les contrats qui définissent les rôles et la responsabilité des acteurs. Qui est/sont les sous traitants par exempl.

Plus gros points : 
 - sensibilisation des employés
 - machins mis en plac epour assuer la protection.