Le Règlement Général européen sur la Protection des Données personnelles (GDPR en anglais) entrera en application le 25 mai 2018, « afin de permettre à l’Europe de s’adapter aux nouvelles réalités du numérique », sans nécessiter de transposition dans les Etats membres.
Ce règlement est complexe car il se situe à la frontière entre le domaine juridique et l’ingénierie informatique. Voici quelques axes de réflexion…
Les objectifs sont clairs :
– renforcer les droits des personnes : consentement explicite, portabilité des données, conditions particulières pour le traitement de certaines données (enfants…), droit à réparation…
– responsabiliser les acteurs traitant des données : notamment par la notion de « privacy by design » : dès la conception du produit ou du service, le respect de la protection des données et la minimisation de la quantité de données doivent être pris en compte.
– crédibiliser la régulation par les autorités nationales réunies au sein d’un comité européen.
La responsabilité des organismes est renforcée, il faut s’y préparer :
- Nommer une personne référente qui exercera une mission d’information, de conseil et de contrôle interne ; la présence de ce DPO peut être obligatoire ou seulement conseillée ;
- Cartographier les traitements de données personnelles est un préalable nécessaire afin de mesurer l’impact du règlement européen ; l’élaboration d’un registre des traitements en est une expression (https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx)
- Soyez attentifs aux données collectées : à leur caractère strictement nécessaire, à la base juridique qui permet leur collecte, aux mentions d’informations, à vos contrats de sous-traitance, aux modalités d’exercice des droits des personnes et aux mesures de sécurité en place…
- Analyser l’impact des traitements sur la protection des données
Privacy Impact Assessment : un logiciel Open source est disponible sur le site de la CNIL (https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil) - Revoir les procédures internes afin de garantir la prise en compte de la protection des données dans les traitements à tout moment, notamment en réponse aux évènements qui pourraient mettre à mal cette protection (changement de prestataire, faille de sécurité…)
- Constituer une documentation afin d’apporter la preuve de votre conformité. C’est l’une des révolutions majeures, car la charge de la preuve est inversée, ce n’est plus la CNIL qui prouve la mauvaise foi, mais l’organisme qui doit démontrer sa conformité au RGPD
Les sanctions sont encadrées et graduées :
L’arsenal, non exhaustif, s’étend de l’avertissement ou la mise en demeure vers la suspension des flux de données, ou encore l’ordre de rectification, de limitation ou de l’effacement des données…