Le RGPD en 6 étapes

Problématique ayant amené le RGPD

La véritable question que pose le RGPD est la suivante : avions nous confiance dans la gestion de nos données avant son entrée en vigueur ? Avons-nous peur de communiquer nos coordonnées par exemple à des portails wifi captifs ? La réponse est sans aucun doute négative. Or, la donnée est devenue l’or immatériel du 21e siècle. Elle est nécessaire non seulement au bon fonctionnement de l’économie de l’internet, mais également au développement des objets connectés que certains qualifient déjà de quatrième révolution industrielle. Ainsi, ce n’est que grâce à une protection satisfaisante des données – et par conséquent au RGPD – que ce nouvel or pourra être extrait par les entreprises. La protection des données constitue donc la condition sine qua non pour les entreprises de développer leur business.

Ou s’applique le RGPD ?

Le Règlement Général pour la Protection des Données (RGPD) s’applique sur tout le territoire de l’Union Européenne à des entreprises, des associations ou des entreprises publiques qui s’y trouvent ou qui, bien qu’ayant leur siège à l’extérieur de l’UE, utilisent des données d’individus se trouvant au sein de l’UE. Le RGPD protège le traitement de données personnelles de façon automatisée ou non, que ce soit informatique ou en format papier. En droit français il a été transposé par la Loi Informatique et Liberté qui a été modifiée à cette occasion.

Une des grandes nouveautés du RGPD réside dans la fin de la déclaration préalable à la CNIL (sauf en matière de santé). Le législateur européen lui a substitué un principe de conformité tout au long de la vie de la donnée.

 

Quels sont les points à respecter pour être conforme ?

La conformité implique de respecter plusieurs grands principes :

  • légitimité : le traitement repose sur le consentement, une obligation légale, un intérêt légitime du responsable de traitement,
  • transparence : sur les finalités et l’identité du responsable de traitement,
  • proportionnalité : les données doivent être adéquates, pertinentes, limitées et nécessaires eu égard à la finalité poursuivie par le responsable de traitement,
  • respect de la finalité : la finalité doit être explicite, légitime, déterminée,
  • droit à l’oubli, à la rectification, à la limitation : les personnes peuvent demander au responsable de traitement d’effacer, de rectifier ou de limiter l’usage de leurs données sauf exceptions,
  • sécurité : obligation d’adopter les mesures techniques et organisationnelles eu égard au risque encouru et à la nature des données personnelles.

Que faire pour être conforme ?

Ces étapes nécessitent d’effectuer un audit aussi bien technique – afin de se prémunir de fuites de données suite à un problème informatique ou à une attaque par un virus par exemple – que juridique, en 6 étapes :

  • désignation d’un pilote : il sera en charge de la gouvernance des données personnelles de la structure et devra informer, conseiller et contrôler en interne. Il est d’ores et déjà possible de désigner un correspondant informatique et libertés. Le pilote constituera l’interface rassurante pour les personnes ayant communiqué leurs données.
  • cartographier les traitements de données personnelles : cette étape consiste à recenser de façon précise les traitements de données personnelles en élaborant un registre des traitements permettant de faire le point sur les données stockées. Ce travail permettra de mieux suivre les données tout au long de leur vie et ainsi d’agir de façon plus efficace et par conséquent plus économique.
  • prioriser les actions à mener : sur la base du registre il s’agira d’identifier les actions nécessaires à la conformité au RGPD en commençant par les plus urgentes (notamment lorsque certaines données, notamment de santé, sont plus sensibles que d’autres).
  • gestion des risques : la gestion des risques passe par une analyse d’impact relative à la protection des données (AIPD) pouvant être effectuée via un logiciel.
  • organisation des processus internes : ils devront prendre en compte l’ensemble des événements de la vie de la donnée de sa création à sa suppression. Cette rationalisation des processus internes permettra aux entreprises d’économiser sur leurs frais de fonctionnement.
  • documentation de la conformité : les documents doivent être regroupés et mis à jour régulièrement.

 

En outre, le RGPD a prévu des dispositions particulières concernant une pratique en pleine croissance : le profilage. Il s’agit du traitement automatisé portant sur des données à caractère personnel permettant d’évaluer des aspects personnels. Son interdiction se trouve limitée aux hypothèses de prises de décisions automatisées produisant des effets juridiques concernant la personne ou qui l’affecte sauf exceptions.

Les limites du RGPD

Néanmoins, étant donné qu’aucun système de protection n’est parfait, le RGPD a prévu un régime juridique spécial en cas de fuite des données. Le responsable de traitement est dans cette hypothèse tenu d’en informer la CNIL dans les meilleurs délais. Il devra prendre les meilleures mesures pour limiter l’impact de cette fuite. Afin de limiter sa responsabilité le responsable de traitement devra apporter la preuve que le nécessaire avait été fait avant la fuite. Les personnes dont les données sont ainsi protégées même en cas de fuite seront a priori plus enclins à communiquer leurs données.

Afin de renforcer la confiance dans la gestion des données le rôle de la CNIL a été partiellement revu. Elle a des pouvoirs d’enquête sur le territoire français au cours desquelles le secret professionnel ne lui est plus opposable. La CNIL pourra prononcer des mesures correctrices et des sanctions (4% du chiffre d’affaires mondial ou 20 millions d’euros : sera retenu le seuil le plus élevé).

Et à travers les continents ?

Ainsi, loin de ne constituer qu’un poids supplémentaire pour les entreprises, le RGPD constitue l’occasion de réfléchir sur la façon la plus efficace de gérer les données. Il permet à l’Europe d’être à la tête du mouvement mondial pour la protection des données, et la Californie s’en est même largement inspirée pour son Consumer Privacy act qui entrera en vigueur en 2020, soit à une époque où l’Europe aura déjà un temps d’avance dans la protection des données de vos clients. Pour rappel, les géants de l’économie californienne – les GAFAM – sont de grands consommateurs de données, ce qui prouve s’il était encore nécessaire, que la protection des données constitue la condition sine qua non de leur extraction et de leur usage par les entreprises.

N’hésitez pas à consulter l’offre d’accompagnement RGPD de DATABIX



Laisser un commentaire