La protection des données à caractère personnel : 10 questions pour bien comprendre.

Dans moins de 4 mois, le 25 mai 2018, entrera en vigueur le Règlement Européen relatif à la Protection des données à caractère personnel (RGPD). Dans un contexte de cybermenace élevée où la maîtrise de l’information constitue un atout concurrentiel important, ce nouveau cadre législatif révolutionne les dispositions imposées par la loi Informatique et Liberté de 1978. Pour les chefs d’entreprise, les présidents d’association ou d’organisme public, les professions libérales, les directeurs d’établissement …, voici en 10 questions tout ce que vous devez savoir sur ce fameux RGPD :

1 - Pourquoi un énième règlement ?

Ce règlement poursuit 3 objectifs :

- renforcer le droit des personnes ;

- responsabiliser les acteurs traitant des données ;

- créer de la confiance avec les personnes concernées et entre les acteurs (pour favoriser notamment les échanges économiques au sein de l’UE, mais également avec des pays tiers).

2 - Suis-je concerné ?

Le RGPD s’applique à tous les traitements de données :

- effectués, par un responsable de traitement, sur le territoire de l’UE ;

- relatives à des personnes qui se trouvent sur le territoire de l’UE.

3 - C’est quoi un « responsable de traitement » ?

C’est celui qui détermine les finalités et moyens du traitement. En clair, les chefs d’entreprise, les directeurs d’établissement, les présidents d’association ou d’organisme public, mais aussi les professions libérales etc.

4 - C'est quoi un traitement ?

Toute opération, automatisée ou non, telles que la collecte, l'extraction, la consultation, la diffusion, la conservation, l'adaptation ou la modification, l'organisation, le rapprochement, la mise à disposition, etc.

5 - Quelles informations constituent des données à caractère personnel ?

Toute information se rapportant à une personne physique identifié ou identifiable, tel qu’un nom, un numéro d’identification, une adresse, un numéro de compte, un identifiant en ligne, …

6 - Quels sont les enjeux ?

- un accroissement de plus de 40 % des cyberattaques ;

- l’obligation, pour le responsable du traitement, de démontrer que le traitement est conforme au règlement ;

- l’obligation de notifier dans les 72h à la CNIL toute violation de données ;

- des amendes pouvant aller jusqu’à 2 M€ ou 4 % du CA ;

- l’obligation de communiquer à la personne concernée toute violation de ses données ;

- des poursuites judiciaires ;

- votre crédibilité.

7 – Comment démontrer ma conformité de mes traitements ?

- en appliquant des mesures techniques et organisationnelles de protection ;

- en respectant les droits des personnes concernées ;

- en jouant la transparence ;

- en désignant un délégué à la protection des données (DPO).

8 - C’est quoi un DPO ?

Le DPO succède au Correspondant Informatique et Liberté (CIL). C’est le conseiller du chef d’entreprise. Outre sa mission de conseil et d’information, il est chargé de contrôler le respect du règlement et fait office de point de contact avec la CNIL.

La désignation d’un DPO n’est obligatoire que dans certains cas, mais elle est vivement recommandée.

La fonction de DPO peut être assurée en interne ou être externalisée.

9 - Qui peut me contrôler ?

- les personnes concernées par les données ;

- la CNIL de son propre chef, ou à la suite d’une réclamation ;

- un donneur d’ordres, un partenaire qui voudra s’assurer de votre conformité.

10 - Alors que faire ?

Ne pas voir ce règlement comme une énième contrainte, mais comme l’opportunité de gagner en crédibilité vis-à-vis de vos partenaires, clients, administrés, patients, donneurs d’ordres, ... pour accroître leur confiance.

S’entourer d’un DPO qui sera le censeur de votre conformité, mais aussi un guide dans votre démarche RGPD.