Données personnelles : les nouvelles règles du jeu

©Toute reproduction interdite sans l'autorisation de l'auteur

En mai 2018, le nouveau règlement européen de protection des données (RGPD ou GDPR en anglais) est entré en vigueur. Il a un impact direct sur de nombreuses fonctions de l’entreprise et les oblige à revoir leur manière de collecter et gérer les données à caractère personnel.

Le développement du commerce électronique, de l’e-gouvernance et des réseaux sociaux a rendu nécessaire une adaptation du cadre existant pour renforcer les droits des personnes et responsabiliser les acteurs traitant des données. On parle ici par exemple de la transmission de données bancaires, de données médicales, de plus en plus complètes et précises, ou de données provenant du coeur de l’entreprise (son personnel s’il doit travailler à l’étranger, ses clients s’il a besoin de crédits). (Innovatech)

Protection renforcée des données personnelles

Dans l'économie des data, la performance des entreprises repose entre autres sur leur capacité à exploiter efficacement les données qu'elles collectent. Des données de plus en plus nombreuses qu'il convient de sécuriser et de gérer dans le respect des droits des personnes. C'est l'objectif du nouveau règlement européen (RGPD) : instaurer un contrôle plus étroit des usages des données personnelles des citoyens européens. Mais de quelles données parle-t-on exactement ?

  • Toute donnée permettant d’identifier une personne directement ou indirectement. Il s’agit aussi bien des bases de données clients et prospects que des infos relatives aux employés, intérimaires, stagiaires, des données comptables, des données récoltées par les services marketing, après-vente, etc.
  • Les données brutes issues de la navigation sur un site, de l’activité sur les réseaux sociaux, d'actions marketing, etc.
  • Les données sensibles, soumises à des règles encore plus strictes (données relatives à la santé, la religion, l’orientation sexuelle, etc.)

Les données récoltées doivent être traitées uniquement à des fins spécifiques et légitimes et limitées à ce qui est nécessaire. Elles doivent être corrigées ou supprimées lorsqu'elles sont inexactes, stockées pendant une durée limitée, protégées contre toute utilisation non autorisée, perte accidentelle, etc.

Nouvelles responsabilités des entreprises :

Avec le GDPR, on passe d’un contrôle a posteriori à un principe « d’accountability » ou de responsabilisation des entreprises. De ce fait, elles devront prendre toutes les mesures qui s’imposent pour

  • Informer les personnes lors de la collecte des data (droit à la transparence)
  • Obtenir le consentement explicite des personnes concernées par le traitement des données
  • Respecter les droits de la personne (droit d’accès, de rectification et droit à l’oubli)
  • Garantir la sécurité et l’intégrité des données (accessibles aux seules personnes autorisées) Types de mesures à prendre : cryptage, contrôles et sauvegardes des données, gestion des permissions, etc.
  • Pouvoir démontrer sa conformité à tout moment

La responsabilité s’étend à tous les responsables du traitement des données (y compris les sous-traitants).

Comment se mettre en conformité ?

La CNIL définit un programme en 6 étapes.

  1. Désigner un pilote (un responsable de la protection des données). Obligatoire pour les entreprises de plus de 250 personnes, recommandé pour toutes les autres.
  2. Cartographier les traitements (localiser toutes les données traitées, savoir qui fait quoi, comment et pourquoi, éventuellement à qui les données sont transmises, etc.)
  3. Prioriser les actions (supprimer les données superflues ; sécuriser, voire anonymiser les données sensibles ; mettre en conformité tous les traitements, etc.)
  4. Gérer les risques (analyser l’impact, prendre des mesures préventives ou correctives)
  5. Organiser le traitement (sécuriser, gérer, informer, former et sensibiliser les salariés)
  6. Documenter la conformité (documents à produire à la demande)

Comment rester en conformité ?

Les entreprises devront mettre en place des procédures internes permettant de veiller à ce que les principes de protection des données soient pris en compte par tous, à tous les niveaux de l'entreprise et à toutes les étapes de développement des activités.

Pour bien comprendre le RGPD

Consultez la fiche : Obligations des entrepreneurs en matière de protection des données personnelles