Le Règlement européen sur la protection des données, on en entend parler sans trop savoir ce que cela recouvre.
Quelques informations de base ci-après pour vous éclairer en cette belle rentrée :
– Il entre en vigueur le 25 mai 2018
– A ce stade, le G29 a publié le 13 décembre 2016 ses lignes directrices qui permettent de comprendre l’étendu de ce qui est attendu des entreprises en matière de protection des données personnelles.
– En substance :
- la philosophie recherchée consiste en l’articulation de moyens juridiques et technologiques en vue de la prévention du risque (logique de responsabilité versus la logique de formalités préalables qui a cours aujourd’hui),
- est retenue une approche de Privacy by design > la vie privée est désormais au cœur de l’approche, la société dont la technologie est fondée sur l’usage de données personnelles devant se préoccuper de leur sécurité et confidentialité dès la définition de son projet (produit, service, plateforme, application, etc).
– Concrètement cela signifie :
- il faut réduire les données collectées à celles strictement nécessaires et pertinentes par rapport à l’usage qui est nécessaire pour le projet,
- il faut anonymiser ou pseudonymiser les données autant que possible,
- les mêmes mesures sont attendues tant du responsable du traitement de données personnelles que de ses sous-traitants, raison pour laquelle les clauses relatives aux Données personnelles dans les contrats SaaS ou dans les contrats informatiques sont à sérieusement amender, développer et renforcer ! (mais on est là pour vous aider, rassurez-vous !),
- l’obligation de notifier toute faille de sécurité sous 72H aux autorités de régulations.
– La mise en place d’études d’impact au début de la collecte et de manière récurrente est obligatoire pour les traitements qui seraient susceptibles de présenter des risques pour les personnes dont les données personnelles sont collectées.
=> Nous recommandons néanmoins de mener de telles études pour tout traitement. En effet, nous entrons dans une logique de logique de cartographie des traitements de données, des risques y afférents et des actions à mener, ce qui suppose la mise en place de process internes et la mise au point d’une documentation prouvant la conformité au Règlement.
A cette fin, la désignation d’un pilote de la gouvernance des données personnelles (voire d’une instance dédiée) est à prévoir (en remplacement du Correspondant Informatiques et Libertés).
– Les sanctions encourues sont beaucoup plus lourdes que par le passé : 10 000 000 Euros ou 2% du C.A. annuel mondial total de l’exercice précédent (étant précisé que le montant le plus élevé sera retenu).
Nous vous invitons également à vous rendre sur le site de la CNIL www.cnil.fr qui a publié au premier semestre un guide de préparation au RGPD en 6 étapes : https://www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection-des-donnees
You better get ready !
Valérie Chazaud