RGPD : comprenez vos nouvelles responsabilités

Le GDPR sera appliqué en 2018, préparez-vous avec ACESI

Le Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) arrive et si les obligations déjà en vigueur en France en font partie, il apporte également son lot de nouveautés plus difficiles à déchiffrer pour les entreprises.

 
 
Tout d’abord, que doit-on comprendre par « donnée personnelle » ?

Dans l’article 4 dudit règlement, on trouve la définition suivante : « toute information se rapportant à une personne physique identifiée ou identifiable (…) directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

On voit bien que le périmètre est très large et que chaque organisation est concernée, quel que soit son statut (public ou privé), son secteur d’activité, sa taille, etc. ne serait-ce que par le traitement des données de ses agents ou employés, ses contacts chez ses fournisseurs ou ses clients, etc.

 
 
Quels sont les objectifs principaux de ces règles ?

  • renforcer le contrôle et le droit que les individus peuvent exercer sur leurs données personnelles
  • responsabiliser tous les acteurs récoltant, utilisant ou par qui transitent ces données
  • apporter de la crédibilité et de l’harmonisation au sein de l’Europe à travers une application homogène des règles et la coopération renforcée entre les autorités nationales ; il faut comprendre que contrairement à une directive, ce texte est un règlement et est donc applicable directement sur l’ensemble du territoire européen même si certains points sont laissés à la liberté des États Membres en vue de l’articulation de ce texte avec les autres lois applicables (ex : Code du Travail, Code de la Consommation, etc.).

 
 
Enfin, quelles sont les nouveautés majeures, au-delà d’une application plus rigoureuse des bonnes pratiques existantes ?

  • Le Registre des traitements : la fin de la plupart des démarches préalables (déclarations, demandes d’avis ou d’autorisation) auprès des autorités nationales de protection des données, mais l’obligation de tenir un Registre des activités de traitement, véritable inventaire et cartographie des opérations sur les données personnelles.
  • Une sécurité renforcée : permettre une protection maximale des données, y compris au niveau des sous-traitants et ce à tout moment.
  • Le droit à la portabilité des données : la capacité, sous certaines conditions de récupérer pour soi-même ou à transférer vers un tiers les données enregistrées ou générées lors de l’usage d’un service.
  • Le droit à l’oubli : cet effacement des données est toutefois conditionné à certaines conditions.
  • La protection dès la conception et par défaut : le concept n’est pas nouveau mais doit être désormais considéré dès la genèse d’un projet ou de de la conception d’un produit, d’un service, etc. (« privacy by design »).
  • L’analyse d’impact : durant les phases de conception, la nécessité de formaliser une analyse des risques en cas de risque élevé pour les personnes concernées.
  • La sous-traitance des données : ce point est particulièrement complexe car les responsabilités seront partagées entre sociétés et sous-traitants, même si des contrats définissant le périmètre de ce partage seront indispensables. De plus, si le dit prestataire n’est pas établi de l’Union Européenne, il devra mandater un représentant au sein de l’UE qui sera l’interlocuteur des autorités de contrôle et des personnes concernées.
  • L’obligation de communiquer sur incident : aujourd’hui limitée aux opérateurs de services de télécommunications, l’obligation de notifier – dans les plus brefs délais – l’autorité de protection des données en cas d’incident, suspecté ou avéré, sauf à démontrer que l’incident n’est pas susceptible d’engendrer un risque pour les personnes, sera applicable à tous, y compris au sous-traitant qui devra notifier son client responsable de traitement. De plus, lorsque l’incident pourrait occasionner un risque élevé pour les personnes dont les données sont traitées, le responsable de traitement devra avertir ces personnes notamment afin qu’elles puissent prendre les dispositions nécessaires.

 
Si vous en avez la possibilité, n’hésitez plus, demandez un audit, afin ne serait-ce que de mettre en place un plan d’action pour les mois à venir et vérifier l’impact que la nouvelle législation aura sur vos processus organisationnels, vos procédures, votre SI, etc..

 
 
Pour en apprendre plus sur le RGPD : Cliquez ici