Présentation de la réglementation

Un compte à rebours est lancé,
soyez prêt pour le 25 mai 2018

Le nouveau règlement général de l'Union européenne sur la protection des données (RGPD ou plus couramment nommé en anglais GDPR - General Data Protection Regulation), constitue la plus importante réglementation au monde concernant la gestion des informations personnelles.

Les organisations doivent s'y conformer afin de se prémunir contre les risques de failles de sécurité, de fuites de données, de mauvaises image, de baisses des ventes, d'amendes, de sanctions et éventuellement de procès. 

Cette loi européenne a été adoptée le 14 avril 2016, promulguée le 27 avril 2016 et entrée en vigueur le 24 mai 2016.
Applicable à partir du 25 mai 2018, les entreprises ont 2 ans pour se mettre aux normes.

La GDPR est une évolution de la loi informatique et libertés (6 janvier 1976), de la directive 95/46/CE sur la protection des données personnelles (24 octobre 1995) et du décret n°2005-1309 relative à l’informatique, aux fichiers et aux libertés (20 octobre 2005).

Elle constitue le nouveau texte de référence européen en matière de protection des données à caractères personnelles.

Cette loi comprend certaines dispositions importantes à noter qui sont les suivantes :

1. Une application
extra-territoriale :

Le règlement s’appliquera aux entreprises établies en dehors de l’Union européenne qui traitent les données relatives aux activités des organisations de l’UE. Les sociétés non-européennes seront également soumises au règlement si elles ciblent les résidents de l’UE par le profilage ou proposent des biens et services à des résidents européens (article 3 du règlement).

2. Le droit à
l’effacement :

La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais pour 6 motifs (article 17).

3. Le droit à la portabilité des données personnelles :

Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement.

4. Profilage :

Toute personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire (article 22 du règlement).

5. Un consentement "explicite" et "positif" :

Les entreprises et organismes doivent donner aux citoyens davantage de contrôle sur leurs données privées.

6. Des principes de "protection des données dès la conception" et de "sécurité par défaut" :

Le règlement européen définit le principe de « protection des données dès la conception » (en anglais : Privacy by design) qui impose aux organisations de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractères personnelles. De plus, le règlement consacre la nouvelle règle de la « sécurité par défaut » qui impose à toute organisation de disposer d’un système d’information sécurisé8(article 25 du règlement).

7. Des notifications en cas de fuite de données :

Les entreprises et les organismes seront tenus de notifier dès que possible l’autorité nationale de protection en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées (article 33 du règlement).

8. La nomination obligatoire d'un délégué à la protection des données (Data Protection Officer en anglais)

Cette personne est en relation très forte avec le PDG de l’entreprise et a pour objectif de faire respecter la loi au sein de la société. De plus, si une procédure n’est pas respectée, c’est lui qui prend en charge la responsabilité de non action et donc, subit les conséquences d’une action en justice. La personne doit avoir une double expertise : juridique et technique

Les risques

Outre les impacts de conformité et d’image que peuvent subir les entreprises, il y aura surtout un impact financier très fort. En effet, suivant le chiffre annuel de l’entreprise, elle devra soit s’acquitter d’une somme entre 10 et 20 millions d’euros ou soit devra prendre entre 2% et 4% de son chiffre d’affaire. Le montant de la sanction peut évoluer suivant l’impact de l’attaque qu’elle a subi.

Le meilleur moyen d’être en conformité est de suivre une procédure en étape qui est la suivante :

  1. Nommer un Data Protection Officer,
  2. Analyser l’impact de la GDPR,
  3. Cartographier les traitements,
  4. Cartographier les données structurées et non structurées,
  5. Cartographier les risques juridiques (se référer à la loi)
  6. Cartographier les sous-traitants et les sensibiliser
Lire la réglementation complète