Qu'impose la réglementation sur la protection des données personnelles ?

18 janvier 2018

Qu’impose la réglementation sur la protection des données personnelles ?

Ce nouveau règlement européen entrera en vigueur le 25 mai 2018. Il demande aux entreprises plus de transparence et de maîtrise dans la gestion de leurs données personnelles.

La réglementation européenne sur la protection des données personnelles (GDPR), qui accentue la loi « Informatique et libertés », fait écho à la charte des droits fondamentaux de l’Union européenne. Elle répond à l’explosion des Big data et à la multiplication des plaintes concernant la vidéosurveillance. Outre le renforcement des droits des personnes privées, elle tend à responsabiliser les acteurs qui traitent des données personnelles et à crédibiliser la régulation des données grâce à une coopération renforcée entre les autorités de protection.

Désormais, les entreprises devront disposer d’un inventaire de leurs données à caractère personnel*, précisant leur durée de conservation ainsi que le risque encouru pour les droits et libertés des personnes concernées. En cas de contrôle, elles devront être en mesure de prouver que leur traitement est loyal, transparent, consenti et justifié par une finalité pertinente (la gestion d’un bulletin de salaire, la surveillance d’une zone de machines dangereuses…). Les commerçants sont parmi les premiers concernés, pour la gestion de leurs fichiers clients. « Le chef d’entreprise ne peut ni changer la finalité des données stockées sans en avertir les concernés, ni transférer des données à un sous-traitant hors Union européenne sans être tenu pour responsable », explique Alain Sansot, consultant en protection des données de la société Nastica.

Le responsable du traitement devra notifier toute violation à l’autorité de contrôle dans les 72 heures et formuler à la personne concernée des recommandations pour atténuer les effets négatifs potentiels. Tous les acteurs de l’entreprise, y compris les fournisseurs et les sous-traitants, sont concernés par la réglementation. Les amendes pourront atteindre jusqu’à 4% du chiffre d’affaires.

Dynamic n°144 janvier-février-mars 2018

Définitions

Donnée personnelle : tout ce qui permet d’identifier directement ou indirectement quelqu’un, y compris sur un papier : nom, date de naissance, numéro de sécurité sociale, situation de santé, adresse IP …

L’ « accountability » : c’est le système de preuves que l’entreprise doit apporter concernant la conformité du traitement de ses données, grâce à une base légale de traitement et un mode d’emploi des procédures actives. C’est l’assurance de la qualité et de la traçabilité des données.

La CNIL liste six étapes pour se mettre en conformité, à commencer par la désignation d’un pilote pour la gouvernance des données personnelles, afin de déterminer le besoin ou non d’un DPO (agent spécialisé en protection des données).

 

https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes