Le RGPD

Le RGPD (Réglement Général sur la Protection des Données) ou GDPR (General Data Protection Regulation) pour les anglophones est le nouveau texte de réglement européen en matière de protection de données à caractère personnel pour les résidents de l’Union Européenne. Le RGPD va harmoniser la gestion des données dans l’ensemble des pays de l’Union Européenne. Son application est entré en vigueur depuis le 25 Mai dernier.
Il concerne tous les acteurs économiques et sociaux proposant des biens et services sur le marché de l’Union Européenne dès lors que leurs activités traitent des données personnelles sur les résidents de l’Union Européenne. Ce réglement concerne donc les entreprises, les associations, les organismes publics mais aussi les entreprises dont le siège est hors union européenne mais opérant dans l’union européenne et sur les données des citoyens de l’union européenne.

L’objectif du RGPD est de donner aux citoyens de l’Union Européenne plus de contrôle et de visibilité sur leurs données privées notemment les données qui sont collectées, à quelle fin elles sont collectées et la période sur laquelle ces données seront conservées. Le principal enjeu pour une entreprise est donc de savoir à un instant t où sont les données et comment pouvoir sur simple demande les collecter et les transmettre à la personne concernée. L’entreprise doit donc savoir à tout moment les données dont elle dispose, leur localisation, l’objectif de leur collecte, leur mode de gestion, de sauvegarde et de transfert ainsi que les moyens pour les effacer.

Des sanctions sont prévues pour toutes les entreprises en cas de non conformité au respect du RGPD. Celles ci peuvent aller jusqu’à 4% du chiffre d’affaire annuel mondial ou 20 millions d’euros, le maximum étant retenu. L’entreprise devra également payer les dommages et intérêts pour préjudice subi pour non respect du RGPD suite à un recours en justice.

Principes à mettre en oeuvre pour assurer une meilleure protection des données personnelles.

• Le RGPD introduit une logique de responsabilisation encore appelée Accountability. C’est à l’entreprise de prendre toutes les mesures pour garantir la conformité au GDPR. Cela implique également qu’elle doit être capable de démontrer qu’elle a bien rempli ses obligations en terme de protection de données ce qui lui sera demandé lors d’un controle de la CNIL par exemple.

• Le principe du Privacy by design signifie que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service qui manipulerait des données personnelles.

• Le principe du Security by default renforce le rôle de la sécurité dans le système d’information. Le système d’information doit être sécurisé à ses différents niveaux par des contrôles de prévention des failles de sécurité. L’entreprise doit donc être en mesure de déceler des failles de sécurité dans son système et y remédier.

• Le role de Data Protection Officer peut être assimilé à celui d’un délégué à la protection des données. Le DPO doit être associé au differentes questions et problématiques de protection des données à caractère personnelle de l’entreprise. Son rôle est de veiller à la conformité au RGPD et être le point de contact entre l’entreprise et les autorités de contrôle.

Le RGPD demande aussi aux entreprises de réaliser une étude d’impact sur la protection des données personnelles avant la mise en oeuvre de nouveaux traitements de données qui pourraient potentiellement présenter des risques d’atteinte aux droits et aux libertés individuelles.

Pour résumer, le RGPD définit un cadre pour la protection des données personnelles. C’est un travail continu à différents niveaux et ceci implique des mesures humaines, la sensibilisation des utilisateurs et des mesures organisationnelles