Le mois de la data – Entrée en vigueur du RGPD en mai 2018 : Tout ce que vous devez savoir pour l’aborder avec sérénité

Posté le 14 mai 2018 dans Analyse data par Team ADCOM.

Protection des données & RGPD

L’évolution rapide des technologies et la mondialisation ont rendu nécessaire la mise en place d’une réglementation pour la protection des données à caractère personnel. Ce cadre de protection se voit aujourd’hui renforcé avec l’entrée en vigueur du RGPD le 25 mai 2018. Ce règlement européen de la protection des données personnelles sera applicable à tous les Etats membres de l’Union Européenne, sans transposition nationale.

Jetons un œil sur ces nouvelles mesures et leur impact dans le quotidien de votre entreprise.

Les 10 points clés à garder en mémoire

  1. L’Accountability ou l’obligation de mettre en œuvre des mécanismes et procédures internes permettant de démontrer à tout moment sa conformité avec ces nouvelles règles de protection des données personnelles.
  2. Création du droit à la portabilité des données : une personne physique peut vous solliciter afin de récupérer les données la concernant. Elle peut en demander le transfert à un autre responsable de traitement (une autre société), ou une simple restitution.
  3. Le droit à l’oubli consacré : une personne physique peut demander l’effacement des données la concernant. Il est à noter que ce droit s’applique, non pas de façon générale, mais dans des cas limitativement énumérés par le RGPD.
  4. Renforcement du consentement : le responsable de traitement de vos données doit être en mesure de prouver qu’il a bien recueilli le consentement de la personne physique au préalable.
  5. Disparition de formalités auprès de la CNIL : la déclaration des fichiers de données à la CNIL se voit remplacée par la tenue d’un registre des traitements. Cette mesure du RGPD découle de l’Accountability (cf. ci-dessus).
  6. Mise en place de certaines obligations telles que la désignation d’un délégué à la protection des données, la tenue d’un registre des activités de traitement, la notification des violations de données à la personne concernée dans les meilleurs délais.
  7. Evaluation des risques et mise en place des mesures de protection adéquates : un audit peut permettre de juger et mettre en place les procédures à la hauteur des risques.
  8. Partage des responsabilités entre le propriétaire des données et le sous-traitant qui exécute le traitement de celles-ci.
  9. Sanctions dissuasives en cas de manquements graves (sanction financière voire pénale selon l’infraction).
  10. Lutte contre les risques d’impact sur la vie privée des individus avec notamment le concept de « privacy by design ». Ce dernier impose une protection de la vie privée dès la conception d’une solution de traitement de données personnelles. Il est valable tout au long du développement et de la mise en production de la solution.

Ce que ça change pour vous

Avec l’arrivée du RGDP, une nouvelle ère de la protection de la vie privée s’ouvre à vous. Un changement radical en matière de traitement des données personnelles va s’opérer.
A la place de la déclaration préalable à la CNIL, viennent s’imposer aux entreprises des obligations que ne sont cependant pas toujours synonymes de contraintes.
Il faut tout de même noter qu’un manquement à ces obligations est passible de sanctions plus ou moins lourdes selon la nature, la gravité et la durée de la violation. Côté responsabilité, le RGPD prévoit désormais une responsabilité partagée entre les acteurs traitant les données : le propriétaire des données et le sous-traitant qui exécute le traitement seront responsables conjointement.
Les grands changements s’opéreront dans vos procédures de fonctionnement. La réglementation européenne inverse la charge de la preuve: dorénavant c’est à l’entreprise de pouvoir démontrer à tout moment sa conformité.

La notion de transparence se trouve aujourd’hui sur le devant de la scène. En tant qu’entreprise, vous l’avez compris. Et même si, comme bien d’autres sociétés, vous pouvez faire preuve d’une certaine réticence à appliquer les nouvelles réglementations, vous constaterez que nombreux sont les enjeux qui vous sont favorables.

Ce que vous devez mettre en place

Afin de répondre aux exigences du RGPD, il vous faut revoir un certain nombre de procédures internes. Se mettre en conformité et pouvoir le justifier va faire partie de votre quotidien !

  • Tenir un registre des activités de traitement en remplacement de la déclaration à la CNIL. Il est obligatoire pour les organisations de plus de 250 employés et pour celles de moins de 250 employés dans 3 cas seulement (lorsque le traitement n’est pas occasionnel, lorsque le traitement est susceptible de comporter un risque pour les droits et libertés de l’individu concerné, lorsque le traitement porte sur des données jugées sensibles ou relatives à des condamnations ou à des infractions).
  • Évaluer le niveau de risques, identifier le périmètre des données sensibles et déterminer votre plan d’actions. La stratégie à mettre en œuvre va dépendre de votre secteur, de votre entreprise et du type de données concernées.
  • Désigner un DPO (Délégué à la protection des données). Sa mission d’information, de conseil et de contrôle en interne est rendue obligatoire pour les entreprises publiques et celles qui effectuent des traitements de données sensibles ou à grande échelle.
  • Intégrer le concept du « privacy design ». Il s’agit de prendre en compte la notion du respect de la vie privée dès la conception d’un système d’information, d’une base de données, d’une application. Cette mesure fait partie de la lutte contre les risques impactant la vie privée des utilisateurs.

A noter : le RGPD exige toujours une organisation en interne pour la mise en œuvre du droit à l’oubli (données à supprimer passé un certain temps, à la demande de l’utilisateur).

Quels bénéfices ?

Véritable source de contraintes au premier abord, le RGPD présente une réelle opportunité pour les entreprises d’adopter une gestion plus globale des données. Cela peut même leur permettre d’en faire un atout concurrentiel. Il s’agit là, entre autres, d’une occasion d’améliorer la sécurisation des données personnelles.
En vous obligeant à réviser vos procédures internes, la gouvernance des données se voudra plus performante et plus rentable. Le règlement européen ouvre les portes de l’optimisation des processus internes. De plus, il s’agit d’un moment opportun pour sensibiliser et former vos collaborateurs aux différentes procédures et concepts (« privacy design » notamment).
En matière d’économie, le nettoyage régulier des bases de données permet de ne conserver que les données utiles et engendre une diminution du coût de stockage.
Pour ce qui est de l’image de votre entreprise, la sécurité et la transparence des traitements de données représentent un véritable gage de confiance à l’égard des utilisateurs.

L’essentiel à retenir

Suivant une logique de conformité et de responsabilisation, le RGPD confère une protection encore plus renforcée aux personnes physiques. Cela engendre pour les entreprises le respect de nouvelles obligations qui demandent du temps et de l’organisation.
L’impact s’avère global sur le sujet sensible du traitement des données personnelles mais les bénéfices retirés pour vous, professionnels, peuvent être substantiels.

Adcom vous accompagne dans le conseil pour la mise en place de cette législation.

Un projet digital ?

Vous souhaitez booster votre performance digitale ? Contactez-nous et bénéficiez d’un avis d’expert.