25 Juil.

Le nouveau règlement pour la protection des données, au cœur de toutes les discussions, a été entériné officiellement le 24 mai 2016.  La période actuelle étant transitoire, ce règlement ne sera cependant applicable qu’à partir du 25 mai 2018. 

AZNETWORK et ses équipes en professionnels du sujet et de ses solutions, consolident et partagent leurs bonnes pratiques en interne et avec leurs clients.

Le GDPR (General Data Protection Regulation), aussi désignée sous son acronyme français RGPD (Règlement général de protection des données), est le nouveau texte de référence en matière de protection des données au niveau européen (règlement UE 2016/679).

Le RGPD entrera en vigueur le 25 mai 2018. Dans la mesure où il s’agit d’un règlement européen, et non pas d’une directive, le texte entrera en application directement et en même temps dans tous les Etats membres de l’Union européenne, sans transposition.

Le RGPD, le règlement 679/2016,  remplacera la directive 95/46/CE (publiée en 1995). Cette directive servait de fondement à la loi Informatique & Libertés en France. Le RGPD a été conçu pour adapter et moderniser le cadre juridique en matière de protection des données à ces évolutions, c’est à dire qu’il fixe  de nouveaux droits pour les personnes physiques dont les données sont collectées et de nouvelles obligations pour les responsables de leur traitement.

Cette nouvelle réglementation vise à mieux adapter le droit des personnes à l’évolution numérique, et notamment au développement du « big data », du e-commerce, des objets connectés… qui reposent en grande partie sur la collecte et le traitement des données personnelles. 

Le RGPD poursuit plusieurs objectifs ambitieux :

  • Uniformiser au niveau européen la réglementation sur la protection des données.
  • Responsabiliser davantage les organisations en développant l’auto-contrôle.
  • Renforcer le droit des personnes (droit à l’accès, droit à l’oubli, droit à la portabilité, etc.).

Les règles et obligations du RGPD s’appliquent au traitement – automatisé ou non – des données à caractère personnel. L’objectif du RGPD est de renforcer l’encadrement des pratiques en matière de collecte, de consentement et d’utilisation des données à caractère personnel.

Selon la CNIL, « une donnée à caractère personnel (DCP) est une information relative à une personne physique identifiée ou identifiable, directement ou indirectement ». Les données les plus courantes sont un nom, un numéro d’identification, des données de localisation, des identifiants en ligne. Il s’agit de plusieurs éléments spécifiques propres à une identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, les informations bancaires, les données des salariés et des candidats ou encore les fichiers clients et prospects…..

Le RGPD concerne uniquement la protection des données personnelles rattachées à des personnes physiques. Ce qui signifie que le règlement  ne s’applique pas aux organisations ne traitant que des données relatives à des personnes morales, sauf si celles-ci sont amenées à collecter des données sur des représentants des personnes morales (ce qui, dans les faits, est presque toujours le cas…).

Pour se mettre en accord avec le RGPD, plusieurs dispositions sont à respecter :

  • le principe de consentement : il exige un consentement clair résidents avant le recueil des données ainsi qu’une parfaite transparence quant à l’utilisation qui en sera faite
  • le droit à la portabilité des données personnelles : il doit être possible de transférer les données via des formats de fichiers ouverts courants. Les personnes pourront obtenir communication, dans un format lisible et structuré, des données personnelles les concernant. 
  • le droit à l’oubli numérique : il impose la suppression définitive des données d’un individu sur demande. Les organisations doivent s’assurer qu’elles garantissent le droit à l’effacement.
  • la nomination d’un DPO : les organisations devront également nommer des délégués à la protection des données qui seront redevables devant les autorités compétentes.
  • le Privacy by design : les processus et workflows devront être retravaillés afin de parvenir à une « protection intégrée de la vie privée »
  • l’accountability : il désigne l’obligation pour les organisations de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
  • la notification des violations : le RGPD exige une notification des violations de données dans un délai de 72h à partir de la détection de l’incident

Les règles du GDPR s’appliqueront, à compter de mai 2018, à toutes les organisations privées ou publiques des 28 Etats membres de l’Union européenne.

Plus précisément, aux organisations :

  • Proposant des biens et services sur le marché de l’UE.
  • Collectant et traitant des données à caractère personnel sur les résidents de l’UE.

A noter que le règlement s’appliquera également aux organisations non implantées en UE, dès lors qu’elles collectent et traitent des données personnelles sur des résidents de l’UE.

Les règles de coresponsabilité engagent chaque acteur : les organisations, administrations, entreprises, sous-traitants fournisseurs doivent garantir les uns envers les autres, la protection des données obtenues et communiquées.

En revanche, selon l’article 18 du règlement, le RGPD ne s’applique pas aux particuliers.  C’est à dire, toutes personnes physiques effectuant des traitements de données à caractère personnel au cours d’activités strictement personnelles ou domestiques. Ces traitements de données doivent être sans lien avec une activité professionnelle ou commerciale.

Son objectif est de donner aux citoyens d’avantage de contrôle et de visibilité sur leurs données privées, notamment pour savoir quelles sont les données collectées, leur but et leur durée de conservation. Le principal enjeu pour les organisations est donc de savoir où sont ces données et comment pouvoir les transmettre aux personnes concernées.

Cela suppose donc qu’une organisation doit à tout moment savoir :

  • de quelles données elle dispose
  • leurs localisations
  • l’objectif de leur collecte
  • les modes de gestion, stockage, transfert et d’effacement des données

En mai 2018, le règlement européen sera applicable.

D’un côté, de nombreuses formalités vont disparaître auprès de la CNIL. En contrepartie, la responsabilité des organismes sera renforcée en assurant une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

Pour cela, la CNIL a défini six étapes pour se mettre en conformité avec le RGPD :

L’organisation devra désigner un délégué à la protection des données. Il exercera une mission d’information, de conseil et de contrôle en interne.

Il faudra recenser de façon précise les traitements de données personnelles. L’élaboration d’un registre de traitements permettra à l’organisation de faire le point.

L’organisation va devoir identifier les actions à mener pour se conformer aux obligations actuelles et à venir. Ces actions vont être priorisées en fonction des risques sur les droits et les libertés des personnes concernées.

Une analyse d’impact sur la protection des données (PIA) doit être menée avec des traitements de données personnelles qui sont susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées.

L’organisation doit mettre en place des processus internes pour garantir la prise en compte de la protection des données à tout moment afin d’assurer à un haut niveau cette protection des données en permanence. Il faut prendre en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (faille de sécurité, gestion de la remontée d’informations…)

L’organisation doit constituer et regrouper la documentation nécessaire pour prouver la conformité au règlement. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu. La CNIL a mis en place l’outil PIA permettant de mettre à jour les traitements. 

Le DPO, pour « Data Protection Officer », est une personne en charge de la protection des données personnelles traitées par un organisme (administration, organisations…). Il s’agit d’un nouveau métier porté par le RGPD 2018. Ce texte rend sa désignation obligatoire pour un grand nombre de responsables de traitement de données personnelles. Cette Obligation est relativisée pour certains organismes, mais il est fortement recommandé de désigner une personne assurant la mise en conformité à ce règlement.

La désignation d’un délégué à la protection des données est obligatoire en 2018 si :

  • vous êtes un organisme public
  • vous êtes une organisation dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et à des infractions

Au sein de son organisme, le délégué à la protection des données est principalement chargé :

  • D’informer et de conseiller le responsable du traitement ou le sous-traitant ainsi que leurs employés
  • De contrôler le respect du règlement et du droit national en matière de protection des données
  • De conseiller l’organisme sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution
  • De coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci 

Dans une organisation, le DPO est un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.

Le RGPD prévoit des pénalités très importantes pouvant atteindre 20 millions d’euros ou, dans les cas plus graves, jusqu’à 4 % des recettes globales.

Ces amendes s’accompagneront naturellement d’atteintes à la réputation des organisations – organisations s ce qui pourrait causer encore plus de dommages financiers que les amendes elles-mêmes.

Le montant des amendes sera variable selon la nature, la gravité et la durée de la violation et compte tenu de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes affectées et le niveau de dommage qu’elles ont subi. Le degré de responsabilité du responsable de traitement ou du sous-traitant est également pris en compte ainsi que les différentes mesures techniques et organisationnelles déjà mises en place pour assurer la conformité de la société.

Le Règlement Général sur la Protection des Données (RGPD) aura un impact significatif sur la façon dont les organisations gèrent les données, notamment celles de leurs clients et employés. Sa mise en conformité est donc un axe stratégique et complexe que les organisations doivent impérativement traiter rapidement pour être prêtes à l’échéance et nécessite de prendre en compte les aspects méthodologiques, juridiques et techniques. 

De plus, la norme ISO 27001 définit, dans son annexe A, 114 exigences de sécurité pour mettre en place un SMSI (Système de Management de la Sécurité Informatique). La mise en conformité du RGPD est un atout car il complète les exigences de l’ISO 27001 et la rigueur de notre démarche qualité. 

Depuis 2019, AZNETWORK est certifié ISO 27001 et HDS sur les 6 points du référentiel. Ces certifications ont été renouvelées en 2022.


Vous voulez un renseignement ?

Nos experts seront ravis de vous conseiller