Obligations des entrepreneurs en matière de protection des données

©Toute reproduction interdite sans l'autorisation de l'auteur

Objectifs ?

Respecter la vie privée et se conformer au nouveau règlement européen

Quand ?

Tout au long de la vie de l'entreprise

Avec qui ?

Avec un expert et avec les responsables du traitement des données

L'essentiel

Le nouveau règlement européen pour la protection des données (RGPD ou GDPR en anglais) entrera en vigueur le 25 mai 2018. Il confirme des principes de protection des données déjà existants mais prévoit également de nouvelles obligations pour les entreprises traitant de données à caractère personnel.

Le RGPD aura un impact direct sur la manière de traiter les données à caractère personnel et implique pour chaque entreprise toute une série de mesures ou de changements techniques, juridiques et opérationnels.

Ce qu'il faut savoir

Le RGPD s’applique à toute entreprise traitant des données à caractère personnel (DCP) concernant des personnes résidant sur le territoire de l’UE, que l’entreprise soit établie ou non dans l’UE.

 Le RGPD s’applique aux responsables du traitement des données et à leurs sous-traitants.

Le responsable du traitement est considéré comme acteur économique responsable. C’est à lui de prendre les mesures techniques et organisationnelles visant à garantir le respect de la règlementation. Il n’a plus à déclarer son traitement, ni à solliciter une autorisation préalable. En revanche, il se doit de tout documenter. (source : lemagIT)

Les responsabilités sont partagées et davantage précisées entre le responsable du traitement et le(s) sous-traitant(s). À titre d’exemple, si une personne concernée par un traitement de données subit un dommage parce que le règlement n’a pas été respecté, celle-ci pourra se retourner contre le responsable du traitement, et/ou contre le sous-traitant. En effet, ils sont tenus solidairement responsables du dommage subi par la personne. (source : 1819)

Il s’agit de toutes les informations concernant une personne physique identifiée ou identifiable, y compris les données personnelles indirectes (ex : identifiants et mots de passe).

Le RGPD s’applique aux traitements des données personnelles, qu’ils soient automatisés ou nonChaque entreprise, petite ou grande, traite des données à caractère personnel (données des employés, base de données clients et prospects, listes de mailing, données comptables, CV de candidature, etc.)

Quotidiennement, vous transmettez des renseignements personnels au monde extérieur : en demandant une carte de fidélité au supermarché, en vous inscrivant à un cours de danse ou en participant à un concours … Vous n’avez, en général, aucun contrôle sur ce qu’il advient de toutes ces données. (Innovatec)

(source: FEB)

Grâce à ce nouveau réglement les personnes reprennent le contrôle de leurs données personnelles. Elles bénéficient de nouveaux droits : 

  • Droit d’accès :  chacun doit pouvoir accéder à ses données et obtenir rapidement les informations demandées.
  • Consentement : chacun doit donner son accord explicite et accepter le traitement de ses données à caractère personnel. 
  • Droit à l’oubli : chacun peut exiger que ses données soient supprimées ou refuser qu’elles soient diffusées ou traitées.
  • Droit à la portabilité : chacun peut disposer de ses données et les transmettre à qui il le souhaite (ex : changement de banque, d’opérateur téléphonique, etc.)
  • Profilage et automatisation : chacun a le droit de refuser un traitement automatisé de ses données (segmentation marketing, retargeting, etc.)

Chaque entrepreneur est responsable des données qu'il traite. Il doit protéger les droits des personnes qui lui communiquent leurs données. Cela induit un certain nombre d’obligations.

LA BASE : PROTECTION ET TRANSPARENCE

  • Communication : obligation d’expliquer clairement pourquoi vous traitez les données, combien de temps elles seront stockées et dans quel but.
  • Notification en cas de risque : vous devez avertir la CPVP en cas de fuite de données.
  • Privacy by default : par défaut, vous devez disposer d’un système d’information sécurisé afin de garantir la sécurité et la confidentialité des données traitées.
  • Privacy by design : vous devez tenir compte du respect de la vie privée dès la conception de nouveaux produits et services.

    LA GOUVERNANCE : DOCUMENTER ET PROUVER

    On parle beaucoup de « responsabilisation » (accountability) des entreprises. C’est à l’entreprise de prouver qu’elle est conforme à la nouvelle réglementation. Nouveauté : cela concerne aussi les sous-traitant (qui sont tenu de respecter les mêmes règles même s’ils ne sont pas implantés dans un pays européen).

    En fonction du type de données traitées, vous devrez tenir un registre. Celui-ci n’est obligatoire que si le traitement des données est régulier ou s’il s’agit de données dites sensibles.



    En fonction de la taille de l'entreprise, il y aura lieu de nommer un délégué à la protection des données (DPO). Mais ceci ne s’applique qu’aux entreprises de plus de 250 personnes. 

    LA PRÉVENTION : ANALYSE D'IMPACT

    Des analyses d’impact peuvent être obligatoires pour les traitements à haut risque, comme :

    • Nouvelles technologies
    • Traitement automatique et évaluation des données à caractère personnel
    • Vidéo surveillance de zones accessibles au public
    • Traitement à grande échelle de données sensibles (ex : données biométriques)

     LES SANCTIONS

    Les entreprises qui ne respecteront pas le nouveau règlement pourront être condamnées à de lourdes amendes administratives, pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel de l’entreprise.

    Face à cette nouvelle réglementation, chaque entreprise devra avoir une attitude proactive et prendre toutes les mesures pour protéger les données personnelles traitées.

    1.     Cartographier : les données et leur utilisation

    2.     Sensibiliser : les collaborateurs concernés, désigner un pilote le cas échéant.

    3.     Minimiser : n’utiliser que les données nécessaires, limiter le stockage et gérer l’obsolescence

    4.     Analyser et gérer les risques : mettre en place des mesures pour protéger les personnes

    5.     Sécuriser et organiser : restreindre l’utilisation et assurer la confidentialité des données

    6.     Documenter et gouverner : disposer d’une documentation démontrant que vous respectez les obligations prévues et assurer la conformité à long terme.

    Plusieurs outils ou technologies peuvent aider à améliorer le traitement des données :

    • anonymisation ou pseudonymisation des données,
    • chiffrement de fichiers, processus de suppression,
    • protection opérationnelle des données (détection des failles, gestion des incidents, contrôle d'activité des utilisateurs et des administrateurs, etc.),
    • gestion du cycle de vie (records management), archivage, suppression sécurisée, etc.

    Plusieurs organismes ont préparé des documents pour vous guider dans vos démarches. 

    Par qui vous faire aider ?  Où trouver des réponses à vos questions ?

    LA CHECKLIST


    TEXTE COMPLET DU RÈGLEMENT (UE) 2016/679)

    UN SITE TRÈS RICHE

    • www.gdpr-expert.eu présente chaque article du règlement en précisant d’où on vient, où on va et quelles sont les difficultés probables.

    LIVRES BLANCS, GUIDES ET DOCUMENTS POUR EN SAVOIR PLUS ET SE PRÉPARER