Le RGPD, par où commencer ?
HUMANS4HELP

Le RGPD, par où commencer ?

Alors que les avancées technologiques permettent de nouvelles méthodes de collecte et de traitement, le RGPD ((Règlement Général sur la Protection des Données) ou GDPR (en anglais) intervient dans ce contexte afin d’assurer un meilleur équilibre entre la circulation de la donnée et sa protection contre les abus mesurés en fonction de principes classiques et des nouvelles règles.

Les règles de protection des données personnelles sont maintenant unifiées pour l’ensemble des États membres de l’Union européenne afin de réduire les écarts juridiques entre les différentes législations.

Le RGPD est pleinement applicable depuis le 25 mai 2018. Toutes les entreprises et organismes publics sont donc soumis à de nouvelles obligations pour gérer les données à caractère personnel.

Ainsi, le texte est applicable :

  • aux organismes, responsables de traitement et sous-traitants établis sur le territoire de l’UE ;
  • mais également aux organismes qui, sans être établis sur ce territoire, traitent de données de résidents européens dans le cadre d’une offre de biens/services ou s’ils mettent en œuvre des traitements relatifs au suivi de leur comportement.

Il faut rappeler que le RGPD s’inscrit dans la lignée de l’ancienne directive 1995 et reprend opportunément certains principes de la loi Informatique et Libertés modifiée tels que la finalité déterminée, la pertinence des données, la durée de conservation limitée, la confidentialité et les garanties de sécurité. Le tout, doit, être déterminé en amont de chaque opération de traitement.

Parmi les nouvelles obligations, figure celle de la responsabilisation des acteurs (l’Accountability). Dans ce cadre, le responsable de traitement doit être en capacité de prouver sa conformité à tout moment. Pour y arriver, il doit, entre autres, se doter de nouveaux outils, par exemple, un registre des activités de traitement tout en s’appuyant sur des process pré-etablis recensant particulièrement les exigences de sécurité dès la conception d’un système ou solution destinée au traitement des données à caractère personnel (Privacy by Design).

Concrètement, Il s’agit d’une série d’informations obligatoires, à savoir l’identité de la personne à l’initiative du traitement, ses coordonnées, la raison d’être de la collecte, la nature des données collectées, la durée de conservation et les modalités d’exercice des droits etc.

Ces obligations à charge des entreprises et organismes traitant de la donnée personnelle se traduisent par l’émergence de trois nouveaux droits : à savoir, le droit à la portabilité des données avec comme vocation de faciliter la circulation des données à caractère personnel numériques au profit du titulaire pour un meilleur contrôle de ses données.

Pour les citoyens plus enclins à protéger leur vie privée, la consécration du droit à l’oubli issue du célèbre arrêt de la Cour de justice de l’Union européenne de 2014 « Google Spain », le RGPD oblige les plateformes à supprimer de leurs systèmes toutes les données d’une personne si celui-ci en fait demande. 

Enfin, le droit à la limitation qui se matérialise en la possibilité pour la personne de demander la suspension temporaire du traitement le temps de procéder à des vérifications éventuelles quant à la pertinence des données collectées.

C’est donc à peu près à ces points de conformité qu’un projet doit satisfaire pour être dans les clous d’une bonne Accountability. Étant entendu que la transparence est de mise avec un renforcement de l’information à fournir aux titulaires de ces droits par le Responsable de traitement.

Il convient d’initier une véritable analyse de la conformité RGPD, afin d’évaluer son niveau d’exposition aux risques liés à l’application du RGPD. En entreprise, de nombreux métiers sont donc concernés depuis le marketing jusqu’aux ressources humaines en passant par les services support et de la sécurité.

Par ailleurs, le RGPD a étendu aux entreprises sous-traitantes situées hors de l’Union européenne et dans un territoire non adéquat, mais opérant dans le secteur de l’Offshoring, une partie des obligations réservées auparavant aux uniques responsables de traitement, installés sur le territoire européen.

Source : Site internet de la Commission nationale des données personnelles du Maroc https://www.cndp.ma/fr/dossiers/reglement.html

Pour ce qui est de la sécurisation des données personnelles, en plus de la mise en place de mesures organisationnelles et techniques, le Responsable de traitement doit veiller à ce que ses sous-traitants quel que soit leur lieu d’implantation soient en mesure de démontrer leur conformité.

La Commission nationale de l’Informatique (CNIL), recommande de mener six chantiers pour se conformer au RGPD :

  1. Désigner un pilote, à savoir la nomination d’un Délégué à la Protection des données selon le cas.
  2. Cartographier les traitements des données personnelles au travers de la localisation des celles- ci dans différents environnements du système d’information.
  3. Prioriser les actions à mener.
  4. Intégrer une approche gestion et traitement des risques dans les opérations de traitement
  5. Mettre en place des process en documentant les procédures d’exploitation de la donnée et de satisfaction des demandes dans les délais prescrits légalement ;
  6. Documenter la conformité(accountability) via un registre de traitement dans lequel est consigné toutes les preuves et documents visant à prouver la conformité.

Source Commission nationale de l’informatique et des libertés) (https://www.cnil.fr/sites/default/files/atoms/files/pdf_6_etapes_interactifv2.pdf)

En mettant le citoyen au cœur du dispositif, le RGPD permet aux entreprises d’inventer de nouvelles formes d’interaction guidée par la transparence et la maitrise des données de la part des titulaires.

                                                                       Écrit Par PFD

H4H, Société de conseil et d’expertise en cybersécurité et transformation digitale, vous accompagne pour établir un plan de mise en conformité avec le Règlement Européen et vous propose des audits juridiques /techniques avec notamment des solutions logicielles de cartographie et gestion du consentement. (Pour toute information dpo@humans4help.com)


Identifiez-vous pour afficher ou ajouter un commentaire

Autres pages consultées

Explorer les sujets