Le nouveau Règlement Européen sur la Protection des Données (RGPD) entrera en vigueur le 25 mai 2018. Cela va modifier la réglementation de manière assez profonde, en France et en Europe. Quelles sont les nouvelles obligations et les nouveaux droits qui seront appliqués ?
La responsabilisation des entreprises et des sous-traitants
Les données considérées comme à caractère personnel sont toutes les données se rapportant à une personne physique identifiée ou identifiable.
Le premier changement à noter avec le RGPD est que la déclaration obligatoire à la CNIL est supprimée pour laisser place à la tenue d’un registre de traitements des données. Cela s’associe au principe d’accountability : l’entreprise doit assurer à n’importe quel moment que les process en place sont bien conformes mais aussi bien sécurisés et qu’ils garantissent la confidentialité des données.
Cela implique le recensement et la consignation de tous les traitements de données personnelles au sein même de l’entreprise. Cela comprend le processus de collecte, le stockage, l’utilisation, le partage mais aussi la destruction des données.
Le RGPD prévoit d’étendre la plupart de ces nouvelles obligations également aux sous-traitants. De fait, même s’ils sont basés hors de l’Union Européenne, ils doivent pouvoir prouver leur conformité dès le moment où ils traitent des données qui sont liées à un citoyen européen.
Les risques pour la vie privée des utilisateurs
L’une des autres caractéristiques principales du RGPD est d’identifier les traitements vus comme risqués pour la vie privée des personnes. Si ce type de traitement est détecté, alors l’entreprise concernée doit faire une étude d’impact sur la vie privée, aussi appelée PIA pour Privacy Impact Assessment. En somme, il lui fait décrire de façon claire le traitement des informations et évaluer les risques encourus pour ensuite pouvoir engager des actions assurant une sécurité optimale des données.
La nouvelle RGPD met en place des principes de privacy by design et by default. Pour le premier, cela signifie que l’entreprise doit assurer le plus haut niveau de confidentialité possible ainsi que la sécurité des données et ce dès la création d’un nouveau service nécessitant un traitement des données personnelles. Le principe by default équivaut à la protection de la vie privée des utilisateurs du service.
Il y a alors une obligation de portabilité des données mais cela donne aussi le droit de modifier ou de supprimer les données. De plus, il existe avec ces principes une obligation du consentement de l’utilisateur pour le traitement des données. Désormais, les différents paramètres concernant la confidentialité maximale doivent être directement pré-cochés. Cependant, l’utilisateur possède toujours le droit de modifier ces paramètres de confidentialité (comme la localisation) tant qu’il a été prévenu des risques qu’il encourt quant à ce changement.
Comment être conforme avec le RGPD ?
Pour être conforme avec les réglementations du RGPD, il faut que l’entreprise définisse au préalable ce qui s’appelle une Gouvernance de la Data (organisation et procédures mises en place pour encadrer les pratiques de collecte et d’utilisation des données au sein d’une entreprise) qui prend en compte la brique judiciaire à tous les niveaux de la conception et du lancement de nouveaux services en rapport avec le traitement des données. Pour éviter d’éventuelles sanctions, l’entreprise se doit de :
- désigner un DPO (Data Protection Officer) c’est-à-dire un Délégué à la protection des données, qui aura le rôle de pilier central pour les différentes mesures évoquées.
- Consolider son dispositif contractuel surtout en ce qui concerne les garanties de sécurité.
- Mettre en place, en interne, un Référentiel Sécurité adapté et à jour (selon la Charte Utilisateurs des SI ou la Politique de gestion des Incidents, entre autres…).
- Effectuer des études sur les impacts des risques.
Les études d’impact vont devenir de plus en plus courantes car elles visent les traitements à risque. Elles permettent aux responsables de traitements mais également à ceux qui fournissent des solutions auxdits traitements d’être aptes à justifier le niveau de garantie proposé concernant la protection de données.
Un des aspects essentiels du RGPD est la transparence. Les utilisateurs doivent être en mesure de donner leur accord ou de refuser à tout moment. Il faut qu’ils soient informés, clairement, de la manière dont vont être utilisées leurs données. L’entreprise doit être apte à prouver, à tous moments, le consentement d’une personne quant à l’utilisation de ses données.