Protection des données personnelles : quels changements anticiper au sein de la DSI avec la réforme de 2016 ?

A l’ère du Big Data, le Directeur des systèmes d’information joue un rôle essentiel dans l’évolution stratégique de l’entreprise, puisqu’il est tenu d’anticiper les impacts des réglementations à venir. Il en va notamment ainsi des règles relatives à la protection des données personnelles.

A ce titre, la proposition de règlement européen, en discussion depuis janvier 2012, a débouché sur un accord global entre les institutions, le 15 décembre dernier. Cette nouvelle réglementation, qui remplacera la loi Informatique et Libertés en France, s’appliquera aux entreprises établies au sein de l’Union européenne, mais également à toutes entreprises établies en dehors de l’UE qui, dans le cadre de la fourniture de leurs produits et services, collectent et traitent des données personnelles de personnes résidant dans un pays membre de l’UE.

 Les principales obligations qui s’imposeront aux entreprises

1. Dresser un registre interne des différents traitements de données personnelles réalisés au sein de l’entreprise. Cette obligation de recensement remplace celle consistant aujourd’hui à devoir réaliser des formalités préalables auprès des autorités de contrôle compétentes, telle la CNIL. A noter toutefois que ce changement ne concerne pas les transferts de données personnelles hors de l’Union européenne soumis à un régime spécifique de demande d’autorisation ;

2. Rédiger une politique de vie privée prenant en compte le principe de « », consistant notamment à prendre en compte les enjeux liés à la vie privée dès la conception et la création de produits ou services. Il convient ainsi de s’assurer que le traitement de données personnelles est limité à ce qui est nécessaire au regard de ses objectifs et que l’accès aux données est restreint aux seules personnes qui en ont besoin ;

3. Adopter des procédures internes formalisées, diligenter des audits et créer des études d’impact afin de garantir, et pouvoir démontrer en cas de contrôle, la conformité des procédures de l’entreprise à la réglementation ;

4. Répartir et définir contractuellement les obligations et responsabilités des différents intervenants dans la chaîne de traitement des données (responsable de traitement, sous-traitant, destinataire des données) en prenant en compte leurs rôles respectifs et leurs relations avec les personnes concernées par le traitement de leurs données ;

5. Sécuriser les données personnelles contre tout traitement non autorisé ou illégal, mais aussi contre la perte accidentelle, la destruction ou l’altération des données personnelles, en mettant en œuvre des mesures de sécurité physique, technique et organisationnelle appropriées ;

6. Notifier auprès de l’autorité de contrôle compétente les failles de sécurité dans un délai maximum de 72 heures, à compter de la découverte de la violation des données ;

7. Désigner un délégué à la protection des données dès lors qu’une collecte massive de données personnelles est mise en œuvre au sein de l’entreprise.

 Deux ans pour éviter les sanctions

Les entreprises disposeront de deux ans...

Lire l'article complet sur Atout DSI publié le 23/02/2016

par Benedicte Deleporte