Entré en application le 25 mai 2018, le Règlement général sur la protection des données ou RGPD renforce la responsabilité des organismes, donc les droits des citoyens de l’Union européenne, en matière de protection optimale des données. Ainsi, toute entreprise et association appartenant à l’un des 28 États membres, ainsi que celles issues des pays hors UE collectant et traitant des données de résidents européens doivent être en mesure de prouver à tout moment leur conformité.
RGPD, principes clés
Transparence
Tout site internet concerné par le RGPD a pour obligation d’indiquer clairement à ses visiteurs les raisons pour lesquelles :
- Il collecte ses données,
- La manière dont ces données seront utilisées,
- Combien de temps elles seront conservées,
- Les tiers qui y accéderont
Toutes ces informations doivent être écrites de manière compréhensible, dans un format concis, lisible, rédigé de manière à être compris par tous. Exemple : « Ce site utilise des cookies pour vous proposer des contenus adaptés à vos centres d’intérêt et pour réaliser des statistiques de visites.» Concernant le consentement, il ne s’agit pas d’une cache à cocher, mais d’un acte positif (J’accepte)
Le droit des utilisateurs
Tout utilisateur doit bénéficier du droit d’accès à ses données (formulaire, adresse email, courrier…). Parmi les exemples les plus connus, citons Apple, qui permet aux internautes de télécharger toutes les données que l’entreprise possède sur eux. Parlons également :
- Du droit à l’oubli (par exemple : photo ou information gênante),
- Du droit à l’effacement (lorsqu’on se désabonne d’un site)
- Du déférencement sur un moteur de recherche.
- Du droit à la portabilité, qui permet, une fois ses données personnelles récupérées, de les transmettre à un autre site
Responsabilité des entreprises
Les entreprises sont responsables de deux éléments principaux : des données qu’elle récolte et de celles transmises à des sous-traitants. Néanmoins, il existe un filet de sécurité : ces entreprises doivent à tout instant être en mesure de prouver qu’elles sélectionnent les données collectées ou rejetées et qu’elles sont capables de protéger les données de leurs clients.
Dans le cas échéant, si les données ont été piratées ou diffusées par un tiers, l’entreprise dispose de 72 heures pour le signaler aux propriétaires des informations en question, ainsi qu’aux autorités compétentes.
Toute entreprise qui manque à ces obligations peut être sanctionnée (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires), à condition évidemment d’être rapportée à la Commission nationale de l’informatique et des libertés ou CNIL en France).
Mise en place du RGPD au sein des entreprises
La CNIL (Commission nationale de l’informatique et des libertés) divise la mise en place du Règlement général sur la protection des données en 6 étapes :
Étape 1 – Désignation du délégué à la protection des données
Le délégué à la protection des données est chargé de piloter la gouvernance des données personnelles de toute structure. Ce délégué exerce une mission d’information, de conseil et de contrôle en interne.
Étape 2 – Cartographie du traitement des données personnelles
Cette étape consiste pour l’entreprise à recenser très précisément la méthodologie en place pour traiter les données personnelles. Pour cela, il faut élaborer un registre des traitements, qui reprend notamment les informations suivantes (article 30 du RGPD) :
- Qui sont les parties prenantes qui interviennent dans le traitement des données ?
- Quelles sont les catégories de données qui sont traitées ?
- À quoi servent ces données ?
- Qui accède à ces informations et à qui sont-elles communiquées ?
- Combien de temps devront-elles être conservées ?
- Comment sont-elles sécurisées?
Étape 3 – La priorité des actions à mener
En se basant sur le registre des traitements de données personnelles, l’entreprise est désormais capable d’identifier les actions à mener pour se conformer au RGPD. Cela fait, elle doit prioriser les actions à mener afin de sécuriser le traitement des droits et des libertés des propriétaires de données.
Étape 4 – La gestion des risques
Si certains traitements de données personnelles sont susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, l’entreprise doit mener une analyse d’impact sur la protection des données (PIA) pour chacun de ces traitements mis en exergue.
Étape 5 – Organisation des processus internes
Pour une protection des données personnelles durable et de haut niveau, la mise en place de procédures internes garantit la prise en compte de la protection des données à tout moment. Pour cela, les procédures doivent prendreen compte l’ensemble des événements susceptibles de survenir au cours de la vie d’un traitement (ex. : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).
Étape 6 – Documentation de conformité
Afin de prouver sa conformité au règlement, l’entreprise doit constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Qu’en est-il des entreprises hors UE collectant et traitant des données de résidents européens ?
Toute entreprise qui gère les données personnelles des citoyens de l’Union européenne a l’obligation légale d’avoir un registre des traitements. Néanmoins, les PME de moins de 250 salariés peuvent bénéficier d’une dérogation, en inscrivant notamment les données traitées de manière occasionnelle et relatives à la gestion de la paie, aux clients, fournisseurs ou prospects, notamment.
Attention : si les traitements comportent un risque sur les droits et libertés des personnes, cela doit être mentionné dans le registre de la PME.
Les entreprises auxquelles nous confions des informations personnelles en sont responsables. Chaque acteur doit garder en tête que des sanctions existent désormais en cas de non-respect du RGPD. Depuis le scandale Cambridge Analytica, la protection des données n’est plus une option, mais un devoir, une obligation légale, morale et sociale.
Ict.io passe également en conformité avec le RGPD !
Le magazine numérique, Ict.io vous garantit une sécurité complète de vos données, se basant sur les normes imposées par le RGPD. En naviguant sur le site du magazine, vous pouvez accepter ou refuser que les cookies relèvent ou pas vos données. De plus, votre abonnement à notre newsletter par le biais de vos coordonnées (nom ou adresse mail) sont conservées et protégés par la réglementation en vigueur. A savoir qu’à tout moment vous pouvez vous désabonner et demandez que vos données soient complètement effacées de notre système en nous écrivant à l’adresse suivante : hello@ict.io .
Pour toutes informations supplémentaires, n’hésitez pas à nous le notifier. Nous vous invitons aussi à lire notre politique de confidentialité se trouvant sur le site.