L’entrée en vigueur du Règlement général sur la protection des données en mai prochain modifie en profondeur la gestion et la conservation des données personnelles. Qu’est-ce cette nouvelle réglementation implique pour les établissement privés et publics, comment se mettre en conformité ? Voici quelques éléments de réponse.
Qu’est-ce que le RGPD ?
Le RGPD est le nouveau règlement européen relatif à la protection des données personnelles. Il remplace l’actuelle Directive sur la protection des données personnelles et sera applicable dans tous les États membres de l’Union Européenne à partir du 25 mai 2018. Le RGPD Impactera touts les établissements collectant, gérant, ou stockant des données.
Les Objectifs du RGPD
Le RGPD a pour principal but de simplifier et d’harmoniser la protection des données dans les Etats membres de l’union européenne. Ses objectifs :
- Faire face aux nouvelles réalités du marché : protection des données liées aux réseaux sociaux, au cloud computing… etc
- Renforcer les droits des personnes et leur redonner la maîtrise de leurs données : création d’un droit à la portabilité des données personnelles, droit à l’oubli, dispositions propres aux mineurs ;
- Responsabiliser les acteurs traitant des données ;
- Faire en sorte que les autorités de protection des données coopèrent, pour adopter des décisions communes lorsque les traitements de données seront transnationaux.
Les trois principes du RGPD :
Le RGPD se base sur trois grands principes :
- Responsabilisation (accountability) : La déclaration préalable à la CNIL est supprimée, remplacée par des obligations reposant sur l’autocontrôle des établissements.
- « Privacy by design » : le responsable du traitement doit intégree la protection de la vie privée dès la conception d’un service ou d’un produit et, ce, tout au long du cycle de vie.
- « Privacy by default » : le responsable du traitement doit assurer la confidentialité des données.
Quels enjeux pour les entreprises et les organisations ?
Compte tenu des sanctions envisagées dans le RGPD, la protection des données personnelles devient un véritable enjeu pour les établissements privés et publics. Les trois grands principes cités ci-dessus ont donc des implications concrètes pour touts les établissements collectant, gérant, ou stockant des données :
Responsabilisation :
- L’établissement doit pouvoir démontrer qu’elle a pris les mesures nécessaires pour garantir la conformité des traitements de données personnelles. Pour cela, elle doit tenir à jour un registre de l’ensemble de ses traitements.
- Les sous-traitants sont désormais coresponsables. Ils doivent ainsi s’engager à mettre en œuvre les mesures de protection adéquates et à alerter le responsable du traitement en cas de fuite de données.
- L’ établissement doit mettre en place des procédures de notification des violations de données, de gestion des réclamations et des plaintes.
- En cas de faille de sécurité avérée (violation des données), la notification est obligatoire :
- du sous-traitant au responsable de traitement dans les 72 h,
- du responsable de traitement à la CNIL via une étude d’impact,
- du responsable de traitement aux personnes concernées.
« Privacy by design » :
L’établissement doit prendre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles dès la conception d’une application. Elle peut notamment recourir à l’anonymisation des données afin d’éviter l’identification directe d’un individu.
« Privacy by default » :
- L’établissement doit garantir qu’elle ne traite que, et seulement que les informations nécessaires à la finalité poursuivie.
- Elle doit recueillir le consentement explicite des personne concernées et détruire systématiquement les données une fois la finalité terminée.
- Elle doit s’assurer que seuls les employés habilités à la gestion de ces données peuvent y accéder.
Le DPO : un rôle central
Toute organisation publique ou entreprise d’e-commerce et de services en lignes amenés à traiter un grand nombre de données personnelles, a l’obligation de nommer un DPO (Data protection officer) ou délégué à la protection des données.
Le DPO est un véritable « chef d’orchestre » de la protection des données personnelles au sein de l’organisme, il doit notamment :
- garantir la conformité des actions établissements,
- collecter les informations nécessaires à identifier les traitements ,
- contrôler la conformité au GDPR.