RGPD : priorité à la sécurisation et au traitement des données personnelles
Le RGPD ou Règlement général de la protection des données entre en vigueur le 25 mai 2018. A ce titre, toutes les entreprises doivent se mettre en conformité avant cette échéance.
Les nouveaux rôles définis par le RGPD
Le RGPD redéfinit les données personnelles et leur protection. La quantité de données personnelles collectées est devenue colossale à travers le monde. Leur sécurisation doit donc être mis en place et c’est là tout le rôle du Règlement Général de la Protection des Données.
Dans un premier temps, le RGPD définit 5 rôles essentiels dans la protection des données.
La personne concernée
La personne concernée ou personne physique est un citoyen ou résident de l’Union Européenne. Elle est propriétaire de toutes ses données personnelles quelque soit l’entreprise qui les possède.
Le responsable de traitement
Il est en charge d’organisation la collecte et la gestion des données personnelles auprès des personnes physiques. Son rôle est de déterminer la vocation du traitement, les conditions et les moyens du traitement de données à caractère personnel.
Le Data Protection Officer ou Délégué à la protection des données
Il est nommé par l’entreprise pour suivre régulièrement et systématiquement les informations concernant les personnes concernées. Le DPO peut être soit employé par l’entreprise soit être issu d’un service externe. Il travaille de manière indépendante pour faire respecter les réglementations dont le RGPD.
Un DPO doit également être nommé si les données personnelles appartiennent à certaines catégories de données dîtes sensibles : données biométriques, données relatives à la santé de la personne concernée, etc.
La Data Protection Authority
C’est une autorité nationale qui est chargée de mettre en œuvre le RGPD sur tout le territoire. Toutefois, elle n’a pas le pouvoir d’infliger des amendes.
La Protection des données
Le RGPD définit une donnée personnelle comme « toute information se rapportant à la personne concernée. Les données à caractère personnel constituent en réalité une catégorie assez large comprenant plusieurs sous-catégories.
Les données personnelles appartenant à l’individu et non à l’entreprise qui les détiens, le RGPD amène une notion très importante : le consentement.
Pierre angulaire du RGPD, le consentement stipule donc qu’une personne concernée doit accepter que ses données soient mises à disposition d’un responsable du traitement.
La personne concernée dispose également, grâce au RGPD, d’un droit à la suppression aussi appelé droit à l’oubli.
Les 4 clés du consentement
- Les données doivent être données librement. Cela signifie que la personne concernée doit avoir la possibilité de refuser de donner son accord. Elle doit réellement avoir le choix de ne pas fournir ses données. Cela peut impliquer par conséquence de devoir renoncer au service offert par l’organisation.
- Le consentement doit être spécifique. Il doit être intelligible, facile à comprendre et énoncé clairement.
- Le consentement doit être informé. La nature du traitement des données personnelles doit être expliquée dans un emplacement facile à trouver pour la personne concernée, dans un langage clair et simple. L’identité du responsable du traitement doit également apparaître.
- Le consentement ne doit présenter aucune ambiguïté.
Le champ d’application du RGPD
Sur le champ d’application territorial, le RGPD est très clair : si l’entreprise, le responsable de traitement ou le sous-traitant n’est pas basé -e dans l’Union Européenne, il doit tout de même respecter le RGPD.
Des sanctions plus strictes
Article 33 indique les conséquences en cas de violation des données personnelles :
« En cas de violation de données à caractère personnel, le responsable de traitement en notifie la violation à l’autorité de contrôle compétente dans les meilleurs délais et si possible 72 heures au plus tard après en avoir eu connaissance […] Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée d’un motif de retard ».
Ces 72 heures définies par l’article 33 est un délai maximum.
Si le responsable de traitement doit procéder à une notification, il doit être clair sur la nature des données à caractère personnel exposées, y compris sur les catégories de données, le nombre de personnes concernées et les conséquences probables de la violation. Il doit également décrire les mesures prises ou proposer des mesures.
En bref : notifiez rapidement la violation, expliquez ce qu’il s’est passé, quelles sont les conséquences et ce que vous faîtes pour limiter les effets négatifs.
Le RGPD appliquera une sanction pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.
En résumé :
- Commencez par déterminer si vous êtes concernés ou non. Le RGPD affecte-t-il votre organisation ? Vendez-vous des produits ou services à des habitants de l’UE ?
- Si c’est le cas, il est essentiel que vous ayez une bonne connaissance des données que vous détenez. Quelles données détenez-vous réellement ? Savez-vous où elles se trouvent ? A qui appartiennent-elles ? Tout cela sans perdre de vue le principe RGPD qui est que les personnes concernées sont propriétaires de leurs propres données. Lorsque vous avez une vision claire des données que vous possédez, réfléchissez à celles dont vous n’avez pas besoin.
- Data Minimisation : Comment pouvez-vous opérer une minimisation des données et conserver uniquement ce qui est utile et pertinent en appliquant des limites. RGPD ou non, il s’agit d’un principe très important.
- Recourez à la pseudonymisation pour mieux protéger les données que vous détenez déjà. Le chiffrement, le hachage, le masquage, l’agrégation et les références indirectes réduisent l’impact sur les personnes concernées en cas de divulgation des données.
- Mettez en place une protection dès la conception. Dès le tout début d’un projet, commencez par vous demander comment vous allez protéger les données des personnes concernées. Dans le but de mettre en place, comme le préconise le RGPD, une protection dès la conception et par défaut.
- N’oubliez pas que le RGPD fait en grande partie appel au bon sens. Il impose d’exécuter des opérations que nous devrions de toute façon effectuer. Et lorsque vous abordez le RGPD dans cet état d’esprit, il paraît plus accessible, bien plus pratique et beaucoup plus avantageux pour les organisations comme pour les personnes concernées.
RGPD et marketing digital
Pour d’informations, vous pouvez consulter le site de la CNIL et sa page dédiée sur les étapes du RGPD.
Si vous souhaitez un complément d’informations ou faire une demande de devis à IRCF pour mettre votre entreprise en conformité, rendez-vous sur la page contact de notre site.