RGPD : Serez-vous prêt ? #1

3 minute(s) de lecture

L’entrée en vigueur du Règlement général sur la protection des données en mai prochain modifie en profondeur la gestion et la conservation des données personnelles. Qu’est-ce cette nouvelle réglementation implique pour les établissement privés et publics, comment se mettre en conformité ? Voici quelques éléments de réponse.

Qu’est-ce que le RGPD ?

Le RGPD est le nouveau règlement européen relatif à la protection des données personnelles. Il remplace l’actuelle Directive sur la protection des données personnelles et sera applicable dans tous les États membres de l’Union Européenne à partir du 25 mai 2018. Le RGPD Impactera touts les établissements collectant, gérant, ou stockant des données.

Les Objectifs du RGPD

Le RGPD a pour principal but de simplifier et d’harmoniser la protection des données dans les Etats membres de l’union européenne. Ses objectifs :

  • Faire face aux nouvelles réalités du marché : protection des données liées aux réseaux sociaux, au cloud computing… etc
  • Renforcer les droits des personnes et leur redonner la maîtrise de leurs données : création d’un droit à la portabilité des données personnelles, droit à l’oubli, dispositions propres aux mineurs ;
  • Responsabiliser les acteurs traitant des données ;
  • Faire en sorte que les autorités de protection des données coopèrent, pour adopter des décisions communes lorsque les traitements de données seront transnationaux.

Les trois principes du RGPD :

Le RGPD se base sur trois grands principes :

  • Responsabilisation (accountability) : La déclaration préalable à la CNIL est supprimée, remplacée par des obligations reposant sur l’autocontrôle des établissements.
  • « Privacy by design » : le responsable du traitement doit intégree la protection de la vie privée dès la conception d’un service ou d’un produit et, ce, tout au long du cycle de vie.
  • « Privacy by default » : le responsable du traitement doit assurer la confidentialité des données.

Quels enjeux pour les entreprises et les organisations ?

Compte tenu des sanctions envisagées dans le RGPD, la protection des données personnelles devient un véritable enjeu pour les établissements privés et publics. Les trois grands principes cités ci-dessus ont donc des implications concrètes pour touts les établissements collectant, gérant, ou stockant des données :

Responsabilisation :

  • L’établissement doit pouvoir démontrer qu’elle a pris les mesures nécessaires pour garantir la conformité des traitements de données personnelles. Pour cela, elle doit tenir à jour un registre de l’ensemble de ses traitements.
  • Les sous-traitants sont désormais coresponsables. Ils doivent ainsi s’engager à mettre en œuvre les mesures de protection adéquates et à alerter le responsable du traitement en cas de fuite de données.
  • L’ établissement doit mettre en place des procédures de notification des violations de données, de gestion des réclamations et des plaintes.
  • En cas de faille de sécurité avérée (violation des données), la notification est obligatoire :
    • du sous-traitant au responsable de traitement dans les 72 h,
    • du responsable de traitement à la CNIL via une étude d’impact,
    • du responsable de traitement aux personnes concernées.

« Privacy by design » :

L’établissement doit prendre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles dès la conception d’une application. Elle peut notamment recourir à l’anonymisation des données afin d’éviter l’identification directe d’un individu.

« Privacy by default » :

  • L’établissement doit garantir qu’elle ne traite que, et seulement que les informations nécessaires à la finalité poursuivie.
  • Elle doit recueillir le consentement explicite des personne concernées et détruire systématiquement les données une fois la finalité terminée.
  • Elle doit s’assurer que seuls les employés habilités à la gestion de ces données peuvent y accéder.

Le DPO : un rôle central

Toute organisation publique ou entreprise d’e-commerce et de services en lignes amenés à traiter un grand nombre de données personnelles, a l’obligation de nommer un DPO (Data protection officer) ou délégué à la protection des données.

Le DPO est un véritable « chef d’orchestre » de la protection des données personnelles au sein de l’organisme, il doit notamment :

  • garantir la conformité des actions établissements,
  • collecter les informations nécessaires à identifier les traitements ,
  • contrôler la conformité au GDPR.

Mis à jour :