Protection de données : plus que quelques mois pour être conforme au RGPD !

Adopté en avril 2016, le Règlement Général sur la Protection des Données (ou RGPD) entrera en vigueur le 25 mai 2018.  Il ne vous reste plus que quelques mois pour être en conformité ! Petit rappel sur les nouvelles règles et les étapes à suivre.
 

Le RGPD c’est quoi ?

Le Règlement Général sur la Protection des Données (ou RGPD) est un texte européen destiné à simplifier, harmoniser et renforcer la protection de données à caractère personnel. Il se substitue à la loi Informatique et Libertés, reprend un bon nombre de principes de la CNIL (Commission Nationale de l’Informatique et des Libertés) et complète la législation européenne actuelle, la DPD (Directive sur la Protection des Données personnelles).

Ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique et de redonner aux citoyens le contrôle sur leurs données personnelles. Il place la sécurité informatique au coeur des préoccupations et favorise un climat de confiance entre individus et entreprises.

 

Protection de données : quelles sont les données concernées ?

Le règlement européen renforce la protection de toutes les données à caractère personnel telles que :

•     les informations relatives aux salariés d’une société,

•     les données concernant les clients, partenaires et prospects,

•     les informations personnelles présentes sur les ordinateurs, terminaux mobiles et autres serveurs grâce aux échanges de mails, de photos et de données publiées sur les réseaux sociaux.

 

A qui s’applique-t-il ?

Le RGPD s’applique à tous les organismes traitant de données personnelles appartenant à des citoyens de l’Europe, c‘est-à-dire :

•     les acteurs économiques et sociaux européens (entreprises, associations, administrations, collectivités locales, syndicats d’entreprise),

•     les sous-traitants,

•     les entreprises hors Union Européenne qui proposent des services et biens sur le marché européen.

 

Que devez-vous faire pour être aux normes ?

 

1. Nommez un Data Protection Officer (DPO) ou Délégué à la Protection des Données (DPD)

Le RGPD impose la nomination d’un Data Protection Officer (DPO) à toutes les instances publiques et les entreprises privées effectuant du traitement de données personnelles à grande échelle. Appelé à remplacer le CIL (Correspondant Informatique et Libertés), le DPO dispose lui aussi d’un rôle d’information et de conseil à laquelle s’ajoute une mission de contrôle.

 

2. Constituez un registre de vos traitements de données

Avant d’entamer la mise en conformité, faites le point sur vos traitements de données en élaborant un registre complet qui recense :

•     les différents traitements,

•     les catégories de données traitées,

•     la finalité des traitements,

•     les acteurs qui traitent les données,

•     l’origine et la destination de ces données.

 

3. Pensez Privacy by Design

Bonne nouvelle : plus besoin de remplir une déclaration auprès de la CNIL en cas de traitement de données. En échange, les autorités de contrôle demandent la mise en place d’une protection de données par défaut. Comment seront stockées vos données ? Quel protocole de cryptage allez-vous utiliser ? Toutes ces questions devront dorénavant être posées dès la phase de conception du produit ou service : c’est le principe de Privacy by Design.

 

4. Sensibilisez vos collaborateurs

Mettez en place une charte interne pour rappeler à vos collaborateurs les bonnes pratiques et les sanctions encourues en cas de non respect de la loi. Ainsi, un salarié ne peut ni consulter ni supprimer des données ne relevant pas de sa fonction.

Pensez également à revoir les contrats avec vos sous-traitants. Désormais, vous devez vérifier qu’ils sont capables de protéger les données que vous leur transmettez. Le RGPD met fin à leur immunité ; ils deviennent coresponsables en cas de fuite d’informations.

 

5. Garantissez le droit des personnes

Le RGPD est conçu pour améliorer les droits des utilisateurs. Dès le 25 mai 2018, les entreprises devront :

•     s’assurer du consentement éclairé et informé des individus et apporter la preuve de ce consentement,

•     proposer un droit d’accès et de rectification des données aux internautes dans un “format structuré, couramment utilisé et lisible par la machine”,

•     assurer la suppression des données d’un utilisateur lorsqu’il le demande, sur tous les canaux et dans un délai de 30 jours (droit à l’oubli),

•     donner la possibilité à l’individu de s’opposer à tout moment au traitement de ses données (droit d’opposition).

 

6. Préparez-vous à une éventuelle fuite de données

Chaque entreprise doit être prête à faire face à une violation de données. En amont, elle doit créer et appliquer des procédures d’escalade déclenchées automatiquement en cas de faille. Pour répondre aux exigences du RGPD, elle doit être capable de notifier la CNIL dans les 72 heures (article 33) et les personnes concernées dans les meilleurs délais, surtout en cas de vol de mots de passe ou de numéros de carte bancaire.

 

7. Réalisez une analyse d’impact

Le RGPD vous oblige à effectuer une étude d’impact relative aux données personnelles (Data Protection Impact Assessment) lorsque votre traitement de données « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». C’est notamment le cas si vous récupérez et sauvegardez des données sensibles (origines raciales ou ethniques, religion, opinions politiques, philosophiques, syndicales, génétique, données biométriques, santé ou sexualité des personnes). La DPIA s’appuie sur la vraisemblance et la gravité des risques pour permettre à votre délégué à la protection de données (DPD) de juger si des actions correctrices sont nécessaires.

 

8. Documenter la conformité

Les entreprises sont tenues de constituer une documentation contenant tous les éléments nécessaires pour prouver leur conformité au règlement (article 30). Au sein de cette documentation devront se trouver :

•     le registre des traitements, les analyses d’impact (si nécessaire), l’encadrement des transferts,

•     les mentions d’information, le recueil du consentement des personnes concernées, les procédures mises en place pour l’exercice des droits,

•     les contrats avec les sous-traitants, les procédures internes en cas de violations de données, les preuves du consentement des personnes concernées.

Cette documentation devra se présenter “sous forme écrite y compris la forme électronique” et être mise “à la disposition de l’autorité de contrôle sur demande”.

La constitution d’une documentation ne s’applique qu’aux entreprises de plus de 250 employés, sauf :

•     si le traitement effectué “est susceptible de comporter un risque pour les droits et des libertés des personnes concernées”,

•     “s’il n’est pas occasionnel”,

•     s’il porte sur des données sensibles ou “sur des données à caractère personnel relatives à des condamnations pénales et à des infractions”.

 

Quels risques en cas de non-conformité ?

Les entreprises et organismes ont jusqu’au 25 mai 2018 pour être conformes au RGPD. Passée cette date, les autorités pourront sanctionner les organismes en non conformité avec une amende de 10 à 20 millions ou de 2 à 4 % de son chiffre d’affaires annuel mondial ; le montant le plus élevé étant retenu. Par ailleurs, l’entreprise en cause devra également indemniser toute personne lésée par un traitement non conforme de ses données, sans plafonnement. Des sanctions renforcées qui devraient dissuader tout écart de conduite.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Nom *