Le 27 avril 2016, l’Union Européenne a voté une nouvelle législation qui modifiera en profondeur les pratiques des entreprises pour la protection des données à caractère personnel. Ce Règlement Général Européen sur la Protection des Données (ou RGPD) sera applicable à compter du 25 mai 2018.

Les 3 objectifs du RGPD :

  1. Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures
  2. Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants)
  3. Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées

Qu’est-ce qui change ?

Juridique

Unification du cadre juridique pour l’ensemble de l’Union Européenne :
• le RGPD s’appliquera chaque fois qu’un résident européen sera directement visé par un traitement de données.
• La CNIL deviendra (en France) l’interlocuteur unique des entreprises et des internautes en matière de traitements des données personnelles, y compris lors de traitements transnationaux.
• La coopération entre les autorités nationales sera renforcée pour les traitements transnationaux, grâce au Comité européen de la protection des données (CEPD).
Responsabilisation des responsables de traitement et des sous-traitants vis-à-vis du traitement des données personnelles

Droit des personnes et information

Consentement et intérêt légitime : les utilisateurs doivent être informés de l’usage de leurs données et donner leur accord pour le traitement de leurs données ou pouvoir s’y opposer.
Limitation de la quantité de données traitées (principe de minimisation)
Limitation de la durée de conservation des données (principe de minimisation)
Les données doivent être le plus exactes possible (principe d’accountability)
Droit de portabilité : les internautes doivent pouvoir récupérer les données qu’ils ont fournies sous une forme facilement réutilisable et les envoyer à un tiers s’ils le désirent.
Droit à l’oubli
Le consentement des moins de 16 ans n’est valable que s’il est accordé par un responsable légal lors d’une inscription à un service en ligne.
Mise en ligne de la charte de protection des données personnelles et de gestion des cookies

Sécurité

Evaluation des risques pour la vie privée que constituent les données collectées, notamment pour le traitement de données sensibles (qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi, les données génétiques ou biométriques) (principe d’accountability)
Nomination d’un Data Privacy Officer (DPO) dans les structures utilisant des données à des fins de profilage marketing, traitant des données à risque ou appartenant au secteur public.
Formation et sensibilisation du personnel aux risques liés au traitement des données personnelles
Toute faille de sécurité doit être notifiée à la CNIL dans les 72h suivant la prise de connaissance de la violation si celle-ci est susceptible de porter atteinte aux droits et libertés d’une personne.

Contrôle

Obligation de pouvoir matérialiser les détails de la collecte d’un contact sur demande (adresse IP, date, mode de collecte,…) et prouver son consentement de manière non ambiguë (principe d’accountability)
En cas de non respect du règlement, l’entreprise risque une amende administrative pouvant atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Comment se préparer ?

Vous l’aurez compris, l’enjeu est désormais de se préparer en moins d’un an.
Pour cela, la CNIL nous propose le plan d’organisation suivant :

1. DÉSIGNATION D’UN PILOTE
  • Désignation d’un délégué à la protection des données (DPO) qui informera, conseillera et contrôlera en interne (+ d’infos)
  • Un correspondant informatique et libertés (CIL) peut déjà vous permettre d’organiser les actions à mener
2. CARTOGRAPHIE DES TRAITEMENTS DE DONNÉES
  • Recensement précis des traitements de données personnelles
  • Elaboration d’un registre des traitements
3. PRIORISATION DES ACTIONS
  • Identification des actions à mener pour se conformer aux obligations actuelles et à venir
  • Priorisation des actions en fonction des risques que font peser les traitements des données sur les droits et libertés des personnes concernées
4. GESTION DES RISQUES
  • Analyse d’impact sur la protection des données (PIA) pour chaque traitement de données personnelles susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées
5. ORGANISATION DES PROCESSUS INTERNES
  • Mise en place de procédures internes garantissant la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire, etc.)
6. DOCUMENTATION DE LA CONFORMITÉ
  • Constitution et regroupement de la documentation nécessaire pour prouver la conformité au règlement
  • Examen et actualisation régulière des actions et documents réalisés, afin d’assurer une protection des données en continu

Pour en savoir plus :

Partagez
Tweetez
Partagez