Vous n’avez pas pu y échapper ! Depuis plusieurs mois, pas un média ne s’est pas exprimé sur le sujet du Règlement Général sur la Protection des Données (RGPD), souvent pour annoncer une révolution des règles en la matière. La réalité est plus nuancée.
Le RGDP, c’est quoi ?
Le RGDP fixe les règles à respecter pour traiter des données personnelles.
La réglementation sur la protection des données personnelles n’est pas nouvelle, elle existe en France depuis 1978 (Loi n°78-17 dite « Informatique et Libertés ») et a été plusieurs fois modifiée depuis. Le RGDP vise à harmoniser ces règles sur le plan communautaire et à les renforcer. Mais surtout, et c’est bien là la plus importante nouveauté, le RGPD prévoit des sanctions financières bien plus importantes que celles prévues par la loi française en cas d’infraction : jusque 4% du chiffre d’affaires mondial ou 20 millions d’euros !
C’est en réalité cet aspect qui a fait prendre conscience de la nécessité de se mettre en conformité par rapport au RGDP. Car en réalité, les règles prévues dans le RGDP sont pour la plupart déjà inscrites dans la loi de 1978.
Si l’entreprise était conforme à la loi Informatique et Libertés, peu de nouveautés sont donc à mettre en place. Si en revanche l’entreprise entame son processus de conformité, alors un plan d’actions doit être mis en place afin d’être prête pour le 25 mai 2018.
Qui doit respecter le RGDP ?
Tous les organismes qui traitent des données personnelles doivent respecter le RGDP, qu’ils soient responsables de traitement ou sous-traitants (c’est-à-dire qu’ils traitent des données personnelles pour le compte d’autrui) : un grand nombre d’organismes est donc concerné, de l’entreprise individuelle à la multinationale. On rappellera à ce titre qu’un traitement de données personnelles vise toute action sur des données personnelles (collecte, enregistrement, accès…) et qu’une donnée est personnelle dès lors qu’elle permet d’identifier directement indirectement une personne physique (fichier client, adresses email, adresses IP, photos, numéros de téléphone, matricule interne….).
Que faut- il faire pour être conforme ?
La conformité Informatique et Libertés est avant tout une question de loyauté envers les personnes dont les données sont traitées et une question d’organisation.
Il est en effet impératif de fournir aux personnes dont les données sont traitées, ce au moment de la collecte, une information complète et compréhensible sur les conditions de ce traitement et sur les droits dont elles disposent : finalité, destinataires des données, durée de conservation, droit d’opposition, d’accès, de rectification, droit de formuler des directives anticipées, droit à la portabilité des données.
Cette transparence permettra de s’assurer que les personnes ont consenti de façon éclairée au traitement de leurs données.
Les organismes doivent par ailleurs documenter les traitements de données qu’ils mettent en œuvre, ce afin notamment de pouvoir démontrer leur conformité à la réglementation (principe d’accountability). Ceci implique de disposer notamment d’une cartographie des traitements et des flux de données personnelles, d’une politique de gouvernance des données personnelles (qui précisera notamment la durée de conservation des données, les règles de sécurité applicables….), et d’un registre des traitement. La désignation d’un DPO est également, dans certains cas, obligatoire.
Enfin, les organismes doivent aussi respecter les principes de « privacy by design » et « privacy by default », ce qui signifie qu’ils doivent intégrer le paramètre « données personnelles » en amont de l’ensemble de leurs projets et minimiser la collecte de données à ce qui est strictement nécessaire. Concrètement, cela implique notamment de choisir ses sous-traitants destinataires de données personnelles en fonction de leur capacité à respecter la politique de gouvernance des données mis en œuvre par l’organisme, et de leur faire signer un contrat écrit dans lequel ils s’engagent à respecter la réglementation Informatique et Libertés.
Enfin, les organismes doivent veiller à mettre en œuvre des mesures de sécurité et de confidentialité adaptées aux risques suscités par leurs traitements de données personnelles.
Des règles spécifiques s’appliquent lorsque les données sont utilisées à des fins marketing, notamment prospection ou publicité ciblée : elles figurent actuellement dans des textes spéciaux et devraient bientôt être modifiées (projet de règlement e-privacy).
Par où commencer ?
Avant de se lancer tout azimut dans le chantier de la conformité, une première étape incontournable est de réaliser un audit qui permettra de faire l’état des lieux des traitements de données mis en œuvre et du niveau de conformité de l’organisme. Cet audit servira également de base pour établir un plan d’actions.
Car il faut bien le reconnaître : le chantier de la mise en conformité est plutôt lourd pour une entreprise qui part de zéro. Le plan d’actions doit donc être élaboré en concertation avec l’ensemble des acteurs concernés (généralement DPO, DSI, marketing, RH, juridique) afin de prioriser les actions en fonction du gain en conformité, des délais et de la charge de travail nécessaires, des risques de la non-conformité.
Le DPO, interne ou externe, sera ensuite le maître d’orchestre de la mise en conformité.
Les commentaires sont fermés.