Menu

We are apologize for the inconvenience but you need to download
more modern browser in order to be able to browse our page

Download Safari
Download Safari
Download Chrome
Download Chrome
Download Firefox
Download Firefox
Download IE 10+
Download IE 10+

RGPD : les entreprises et les organisations seront-elles prêtes en mai 2018 ?

Première partie

L’entrée en vigueur du Règlement général sur la protection des données en mai prochain modifie en profondeur la gestion et la conservation des données personnelles. Qu’est-ce cette nouvelle réglementation implique pour les établissement privés et publics, comment se mettre en conformité ? Voici quelques éléments de réponse.

Qu’est-ce que le RGPD ?

Le RGPD est le nouveau règlement européen relatif à la protection des données personnelles.
Il remplace l’actuelle Directive sur la protection des données personnelles et sera applicable dans tous les États membres de l’Union Européenne à partir du 25 mai 2018.
Le RGPD Impactera touts les établissements collectant, gérant, ou stockant des données.

Les Objectifs du RGPD

Le RGPD a pour principal but de simplifier et d’harmoniser la protection des données dans les Etats membres de l’union européenne. Ses objectifs :

  • Faire face aux nouvelles réalités du marché : protection des données liées aux réseaux sociaux, au cloud computing… etc
  • Renforcer les droits des personnes et leur redonner la maîtrise de leurs données : création d’un droit à la portabilité des données personnelles, droit à l’oubli, dispositions propres aux mineurs ;
  • Responsabiliser les acteurs traitant des données ;
  • Faire en sorte que les autorités de protection des données coopèrent, pour adopter des décisions communes lorsque les traitements de données seront transnationaux.

Les trois principes du RGPD :

Le RGPD se base sur trois grands principes :

  1. Responsabilisation (accountability) : La déclaration préalable à la CNIL est supprimée, remplacée par des obligations reposant sur l’autocontrôle des établissements.
  2. « Privacy by design » : le responsable du traitement doit intégree la protection de la vie privée dès la conception d’un service ou d’un produit et, ce, tout au long du cycle de vie.
  3. « Privacy by default » : le responsable du traitement doit assurer la confidentialité des données.

Quels enjeux pour les entreprises et les organisations ?

Compte tenu des sanctions envisagées dans le RGPD, la protection des données personnelles devient un véritable enjeu pour les établissements privés et publics. Les trois grands principes cités ci-dessus ont donc des implication concrètes pour touts les établissements collectant, gérant, ou stockant des données :

Responsabilisation :

  • L’établissement doit pouvoir démontrer qu’elle a pris les mesure nécessaires pour garantir la conformité des traitements de données personnelles. Pour cela, elle doit tenir à jour un registre de l’ensemble de ses traitements.
  • Les sous-traitants sont désormais coresponsables. Ils doivent ainsi s’engager à mettre en œuvre les mesures de protection adéquates et à alerter le responsable du traitement en cas de fuite de données.
  • L’ établissement doit mettre en place des procédures de notification des violations de données, de gestion des réclamations et des plaintes,
  • En cas de faille de sécurité avérée (violation des données), la notification est obligatoire :
    • du sous-traitant au responsable de traitement dans les 72 h,
    • du responsable de traitement à la CNIL via une étude d’impact,
    • du responsable de traitement aux personnes concernées.

« Privacy by design » :
L’établissement doit prendre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles dès la conception d’une application. Elle peut notamment recourir à l’anonymisation des données afin d’éviter l’identification directe d’un individu.

« Privacy by default » :

  • L’établissement doit garantir qu’elle ne traite que, et seulement que les informations nécessaires à la finalité poursuivie.
  • Elle doit recueillir le consentement explicite des personne concernées et détruire systématiquement les données une fois la finalité terminée.
  • Elle doit s’assurer que seuls les employés habilités à la gestion de ces données peuvent y accéder.

Le DPO : un rôle central

Toute organisation publique ou entreprise d’e-commerce et de services en lignes amenés à traiter un grand nombre de données personnelles, a l’obligation de nommer un DPO (Data protection officer) ou délégué à la protection des données.

Le DPO est un véritable « chef d’orchestre » de la protection des données personnelles au sein de l’organisme, il doit notamment :

  • garantir la conformité des actions établissements,
  • collecter les informations nécessaires à identifier les traitements ,
  • contrôler la conformité au GDPR.
Bahia Bedjaoui, chef de projet chez Libre Logic

Bahia Bedjaoui

Chef de projet chez Libre Logic.

Répondre

Votre adresse e-mail ne sera pas publiée.
*