
Le RGPD, pour Règlement général sur la protection des données, est un texte de droit européen référent pour la protection des données à caractère personnel. Son ambition ? Protéger la vie privée des internautes européens. De fait, ses répercussions sont très fortes sur les obligations des entreprises. Comment ces dernières doivent-elles préparer l’échéance de 25 mai prochain ?
Ce règlement (ou GDPR pour General data protection regulation), en vigueur depuis avril 2016, sera applicable à partir du 25 mai 2018. Son ambition est triple : renforcer les droit des citoyens, majeurs et mineurs, en vue du contrôle de leurs données personnelles ; responsabiliser les acteurs des data – entreprises et intermédiaires ; et accroître le contrôle et l’application de sanctions en Europe.
Les entreprises doivent « renseigner » leur conformité
Les entreprises ont donc l’obligation de rendre des comptes sur la manière dont elles respectent le RGPD.
« Les entreprises ont aujourd’hui la charge de garantir et de prouver que le traitement des données est conforme et sécurisé à tout moment, souligne Nathalie Devillier, professeure de droit, à Grenoble Ecole de Management. Et, fait nouveau, cette responsabilité est élargie à l’ensemble des prestataires sous-traitants de l’entreprise. » En d’autres termes, chaque entreprise (et ses prestataires), doit être en capacité de « renseigner » son process de mise en conformité, en transparence, et justifier de la mise en place de bonnes pratiques pour la collecte, le stockage, l’utilisation, le partage ou la destruction des données personnelles.
Les entreprises ont aujourd’hui la charge de garantir et de prouver que le traitement des données est conforme et sécurisé à tout moment
Les 7 recommandations clés de Nathalie Devillier
1 – Cartographier toutes ses données et auditer tous les sous-traitants
L’entreprise et ses partenaires sous-traitants sont conjointement responsables du traitement et de l’élaboration d’un système de protection des données personnelles. Cela nécessite donc, pour l’entreprise, de cartographier toutes les données et d’identifier tous ses partenaires co-responsables.
2 – Former le délégué à la protection des données – Data protection officer (DPO), en remplacement du CIL (Correspondant informatique et libertés)
Le RGPD encourage les entreprises à se doter d’un DPO, le rendant obligatoire pour les organismes publics, les organismes manipulant des données « à grande échelle », et les organismes qui manipulent des données sensibles (santé, ou relatives à des condamnations pénales ou infractions…). Le DPO a la charge de piloter la mise en conformité de l’organisation au regard du RGPD. Il s’assure du respect des obligations juridiques et coopère avec la CNIL.
3 – Tenir un registre des activités de traitement auprès de la CNIL
Le document est disponible gratuitement.
4 – Réaliser une étude d’impact
Pour accompagner les entreprises, la CNIL a publié une nouvelle version du logiciel d’étude d’impact sur la vie privée (PIA), ainsi qu’une étude de cas dans le contexte des objets connectés (moniteur de sommeil).
5 – Assurer une totale transparente sur la collecte des données
Traceurs (cookies), conditions générales de vente (où peu d’entreprises sont en conformité actuellement), droit d’accès aux données, droit à l’effacement, droit à la portabilité des données, et « profilage » (soit, la collecte massive des données personnelles récoltées sur Twitter, Facebook, Amazon…), les entreprises se doivent d’être transparentes sur la collecte, la destination et le format sécurisé des transferts de données.
6 – Alerter la CNIL en cas de violation avérée de la vie privée
Dans un tel cas, l’entreprise victime d’une faille ou une cyberattaque doit prévenir la CNIL en moins de trois jours et les personnes concernées si cette violation de sécurité engendre un risque élevé pour leurs droits et libertés. Il en est de même pour les données concernant les clients de l’entreprise. En prévention de toute violation, il est recommandé de s’adresser à l’ANSSI – autorité nationale de sécurité et de défense des systèmes d’information.
7 – En cas de transfert des données vers des serveurs aux USA : vérifier que le prestataire a déclaré sa conformité avec le « Privacy Shield »
Il suffit de consulter le site officiel du gouvernement américain et le contrôler que son statut est bien actif :