3 minute(s) de lecture

L’entrée en vigueur du Règlement général sur la protection des données en mai prochain modifie en profondeur la gestion et la conservation des données personnelles. Qu’est-ce cette nouvelle réglementation implique pour les établissement privés et publics, comment se mettre en conformité ? Voici quelques éléments de réponse.

Qu’est-ce que le RGPD ?

Le RGPD est le nouveau règlement européen relatif à la protection des données personnelles. Il remplace l’actuelle Directive sur la protection des données personnelles et sera applicable dans tous les États membres de l’Union Européenne à partir du 25 mai 2018. Le RGPD Impactera touts les établissements collectant, gérant, ou stockant des données.

Les Objectifs du RGPD

Le RGPD a pour principal but de simplifier et d’harmoniser la protection des données dans les Etats membres de l’union européenne. Ses objectifs :

Faire face aux nouvelles réalités du marché : protection des données liées aux réseaux sociaux, au cloud computing… etc
Renforcer les droits des personnes et leur redonner la maîtrise de leurs données : création d’un droit à la portabilité des données personnelles, droit à l’oubli, dispositions propres aux mineurs ;
Responsabiliser les acteurs traitant des données ;
Faire en sorte que les autorités de protection des données coopèrent, pour adopter des décisions communes lorsque les traitements de données seront transnationaux.

Les trois principes du RGPD :

Le RGPD se base sur trois grands principes :

Responsabilisation (accountability) : La déclaration préalable à la CNIL est supprimée, remplacée par des obligations reposant sur l’autocontrôle des établissements.
« Privacy by design » : le responsable du traitement doit intégree la protection de la vie privée dès la conception d’un service ou d’un produit et, ce, tout au long du cycle de vie.
« Privacy by default » : le responsable du traitement doit assurer la confidentialité des données.

Quels enjeux pour les entreprises et les organisations ?

Compte tenu des sanctions envisagées dans le RGPD, la protection des données personnelles devient un véritable enjeu pour les établissements privés et publics. Les trois grands principes cités ci-dessus ont donc des implications concrètes pour touts les établissements collectant, gérant, ou stockant des données :

Responsabilisation :

L’établissement doit pouvoir démontrer qu’elle a pris les mesures nécessaires pour garantir la conformité des traitements de données personnelles. Pour cela, elle doit tenir à jour un registre de l’ensemble de ses traitements.
Les sous-traitants sont désormais coresponsables. Ils doivent ainsi s’engager à mettre en œuvre les mesures de protection adéquates et à alerter le responsable du traitement en cas de fuite de données.
L’ établissement doit mettre en place des procédures de notification des violations de données, de gestion des réclamations et des plaintes.
En cas de faille de sécurité avérée (violation des données), la notification est obligatoire :
- du sous-traitant au responsable de traitement dans les 72 h,
- du responsable de traitement à la CNIL via une étude d’impact,
- du responsable de traitement aux personnes concernées.

« Privacy by design » :

L’établissement doit prendre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles dès la conception d’une application. Elle peut notamment recourir à l’anonymisation des données afin d’éviter l’identification directe d’un individu.

« Privacy by default » :

L’établissement doit garantir qu’elle ne traite que, et seulement que les informations nécessaires à la finalité poursuivie.
Elle doit recueillir le consentement explicite des personne concernées et détruire systématiquement les données une fois la finalité terminée.
Elle doit s’assurer que seuls les employés habilités à la gestion de ces données peuvent y accéder.

Le DPO : un rôle central

Toute organisation publique ou entreprise d’e-commerce et de services en lignes amenés à traiter un grand nombre de données personnelles, a l’obligation de nommer un DPO (Data protection officer) ou délégué à la protection des données.

Le DPO est un véritable « chef d’orchestre » de la protection des données personnelles au sein de l’organisme, il doit notamment :

garantir la conformité des actions établissements,
collecter les informations nécessaires à identifier les traitements ,
contrôler la conformité au GDPR.

Partager sur

Twitter Facebook LinkedIn

Libre Logic

Qu’est-ce que le RGPD ?

Les Objectifs du RGPD

Les trois principes du RGPD :

Quels enjeux pour les entreprises et les organisations ?

Responsabilisation :

« Privacy by design » :

« Privacy by default » :

Le DPO : un rôle central

Partager sur

Vous pourriez aimer aussi

Offre de service Libre Logic : La gestion d’un système d’information

Offre de service Libre Logic : La mise en oeuvre de solutions techniques

Refonte du site de Libre Logic #1 : « The decision »

RemarKable : un cahier numérique REMARQUABLE !