Le Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR), changement le plus important jamais apporté à la loi sur la protection des données en trois décennies, entrera en vigueur le 25 mai 2018. Ce règlement va renforcer les exigences concernant la sécurité et les activités de traitement des données personnelles. Il s’appliquera de la même manière dans les 28 États membres qui connaissent aujourd’hui une forte disparité des régimes de protection des données.

 

 

Cette transition doit être perçue comme un atout stratégique à ne pas négliger, sauf à vouloir avoir des problèmes légaux.

 

1 – Le Principe de la Réglementation Générale de Protection des Données

 

La RGPD implique une inversion de la responsabilité juridique. Jusqu’à présent, que vous déteniez un fichier élèves ou adultes ou que vous collectiez des données pour les exploiter plus largement, vous aviez pour obligation d’en informer la CNIL qui vous autorisait (ou non) une détention dudit fichier. Cette autorisation était tributaire d’une argumentation soignée, autrement dit d’une révélation des composantes algorithmiques encadrant l’exploitation des données.

Le 25 Mai 2018, vous n’aurez plus à réaliser cette démarche. De fait, vos responsabilités civile et pénale seront donc étroitement liées à l’usage que vous ferez des données. Tout usage intrusif, identifié comme tel, tout manquement à la sécurité, pourra donner lieu à une dénonciation auprès des Autorités compétentes et aux sanctions appropriées.

 

Voilà pourquoi, il nous est explicitement demandé de faire l’état des lieux concernant les données que nous possédons. De cibler juridiquement et ajuster notre organisation légale en gérant les droits d’accès aux données. Le service informatique va devoir désigner un responsable de la sécurisation des données et de la sauvegarde : le fameux Data Protection Officer.

 

2 – Data Protection Officer

 

Aujourd’hui, maintenant même, nous devons donc nous interroger sur la charge que va représenter ce Data Protection Officer. C’est à dire cette personne qui aura accès à l’ensemble des données de la société et qui devra assumer le pilotage de l’exploitation et le respect des normes légales, de l’éthique et de la vie privée.

 

Il est de toute façon évident que l’opération va couter en terme de matériel et de temps humain. Il faut donc préparer ce passage obligé et préparer un plan d’exploitation des données et ce qu’il est possible d’en faire.

 

3- Les mises en place nécessaire 

 

- Tenir un registre des traitements

Les entreprises de plus de 250 employés doivent tenir un registre actualisé de tous leurs traitements de données personnelles. Consultable à tout moment par la Cnil, ce registre comporte, entre autres, le nom et les coordonnées du responsable du traitement, le type de destinataire auquel les données ont été ou seront communiqués et la finalité du traitement (démarchage commercial, analyse statistique…).

 

- Identifier le périmètre des données sensibles

La réforme européenne préconise le cryptage pour les données les plus sensibles. Par données sensibles, elle va plus loin que la définition établie par la loi de 1978. Il s’agit des informations faisant référence aux origines raciales ou ethniques, à la religion, aux opinions politiques, philosophiques, syndicales, à la génétique, aux données biométriques, à la santé ou à la sexualité des personnes.

 

- Garantir les droits des personnes

L’entreprise doit obtenir le consentement explicite des personnes concernées par le traitement et pouvoir en apporter la preuve. Pour les mineurs de moins de 16 ans, le consentement d'un parent ou d’un tuteur légal est obligatoire. Le droit à l’oubli oblige le responsable du traitement à garantir aux individus qui lui en feront la demande que leurs données seront bien supprimées dans le délai fixé. Le règlement instaure aussi un droit à la portabilité. Soit la possibilité d’obtenir les données personnelles le concernant, dans un format lisible et structuré, afin de pouvoir le transmettre à un autre acteur.

 

- Rédiger une charte de bonnes pratiques

Une charte annexée au règlement intérieur permet de rappeler aux collaborateurs un certain nombre de bonnes pratiques ainsi que les sanctions encourues en cas de non-respect de la loi. Entre autres, un salarié ne peut accéder ou supprimer des informations ne relevant pas de sa fonction ou enregistrer des données sur un support externe sans accord de sa hiérarchie. Il doit aussi respecter les règles de sécurité définies par le service informatique.

 

 

- Se préparer à la possibilité d’une fuite de données

L’entreprise doit mettre en place les procédures d’escalade qui seront activées en cas de violation de données personnelles en termes notamment de communication de crise et d’information. Le responsable du traitement doit notifier la Cnil si possible dans les 72 heures après en avoir pris connaissance. Il doit aussi avertir « dans les meilleurs délais » les personnes concernées quand la fuite présente un risque élevé pour leurs droits et libertés comme le vol de mots de passe ou de numéros de cartes bancaires.

 

 

 

Conclusion

 

 

• La RGPD ne peut être raisonnablement mise de côté par l’ensemble des entreprises du territoire en raison d’un durcissement de la responsabilité des entreprises dans l’exploitation des données. Les sanctions seront plus dures, tant en matière économique qu’en matière d’engagement de la chaîne de commandement, et de fait le risque plus grands qu’alors.