Le nouveau Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai 2018 à l’échelle européenne, met le focus sur les droits des individus. Il place les entreprises devant leurs responsabilités avec des obligations nouvelles à respecter.
Priorité à la protection des données
LE RGPD vous échappe ? Nous sommes pourtant tous concernés par ce règlement en vigueur depuis le 25 mai 2018 et qui encadre, au niveau européen, l’utilisation des données personnelles par les entreprises. Quelle que soit la taille de celles-ci.
Toute organisation doit désormais justifier comment et pourquoi elle conserve et utilise les données à caractère personnel de son personnel, ses clients, fournisseurs, prospects… L’entreprise doit démontrer qu’elle agit dans les règles, et intégrer de nouveaux principes comme par exemple le Privacy by Design et le Security by Default. C’est-à-dire prioriser la sécurité et la conformité du traitement de données à caractère personnel, lors de sa collecte et dans tous ses usages. C’est un travail exhaustif. Pour baliser le parcours, la CNIL (Commission Nationale de l’Informatique et des Libertés) a publié, début 2018, un guide détaillant les précautions élémentaires à mettre en œuvre.
Le RGPD s’articule autour de deux axes forts :
1. L’individu au centre du dispositif
Les règles sont claires. L’entreprise doit expliquer, noir sur blanc, comment les data sont captées, traitées, stockées. On parle des « moyens et des finalités » de traitement. L’information à ce sujet doit être facilement accessible, et surtout, être compréhensible par chacun. Dans les faits, le consentement tacite n’a plus sa place. L’individu doit donner son consentement préalable pour chaque traitement le concernant. Ce qui devrait rassurer 72 % des Français qui se disent inquiets quant à la confidentialité et l’utilisation de leurs données (source : sondage BVA pour Le Figaro, publié en octobre 2017). Le RGPD redonne aux citoyens le contrôle de leurs données personnelles :
- en facilitant l’exercice des droits existants issus de la loi Informatique et Libertés : information, accès aux données, rectification, opposition, réclamation
- en les dotant de nouveaux droits : finalités et limitation des traitements, effacement et oubli, portabilité des données, information en cas de violation
- en priorisant l’attention portée à la sécurité des données : confidentialité, intégrité, disponibilité
2. L’entreprise face à ses responsabilités
Dans l’ensemble de l’Union Européenne, le RGPD crée un niveau élevé et surtout uniforme de protection de la data. L’entreprise doit assurer sa mise en conformité en déployant des moyens et une attention plus particulière sur certains points :
- Intégrer l’exercice de ces nouveaux droits par les citoyens, lors de la collecte des données personnelles et à l’occasion du traitement de ces données en s’interrogeant sur la finalité du traitement
- Analyser les risques en amont pour les traitements de données sensibles et mettre en place des mesures de sécurité techniques et organisationnelles
- Prouver que les traitements se font dans les règles
- Notifier les éventuelles violations de données aux autorités compétentes dans les 72 heures.
Pour les entreprises, l’effort est particulièrement important sur les enjeux de transparence et responsabilité (Accountability). Processus, procédures, audits de conformité : chaque traitement de données à caractère personnel doit être évalué et l’entreprise doit pouvoir justifier, à tout moment, les mesures mises en place. Il lui revient de créer la documentation, d’adhérer aux codes de bonne conduite, etc. La mise en œuvre du principe d’Accountability se traduit notamment par la tenue d’un registre des traitements. Il est l’une des pierres angulaires du RGPD, avec la nomination du délégué à la protection des données (DPO). Enfin, le RGPD doit être pris très au sérieux. En cas de manquement, l’amende peut représenter jusqu’à 4 % du chiffre d’affaires annuel.
Aller plus loin en consultant les 17 fiches sur le RGPD rédigées par la CNIL.
Poursuivre sa lecture avec ce quiz « GDPR Check Up » publié par Cyber Security Coalition.
À lire également
Pour en savoir plus, consultez nos autres articles, livres blancs et webinaires.
Transformation numérique
RGPD : la « Task Force » Sigma est à l’œuvreTransformation numérique
RGPD : responsable de traitement et sous-traitant, les données personnelles au centre