RGPD : quels besoins de mise en conformité pour les entreprises ?

#Réglementation 21.03.2017 4min

Après plus de 4 années de négociations et des centaines d’amendements, le Règlement Général de Protection des Données (RGPD) a finalement été publié en avril 2016. Ce nouveau dispositif, qui remplace une directive de 1995, entrera en application en mai 2018. L’heure de la mise en conformité a donc sonné pour les entreprises concernant l’utilisation des données à caractère personnel qui souhaitent éviter une amende qui pourra être salée en cas de non respect des nouvelles règles européennes.

Internet, les réseaux sociaux, le Cloud… Tout cela n’existait pas, ou à peine, lorsque la directive 95/46/CE « relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » a vu le jour. Le RGPD doit permettre de moderniser la législation européenne en prenant en compte ces nouveaux usages.

En effet, chacun manipule, à des degrés divers, des données personnelles.

Mise en conformité : une priorité ?

Fin 2016, un rapport de Symantec estimait que 96% des entreprises françaises, allemandes et britanniques n’avaient qu’une compréhension partielle du RGPD. Et seules 25% des entreprises françaises considéraient le fait d’être en conformité avec ce nouveau dispositif comme l’une des toutes premières priorités dans les deux années à venir. « Ces résultats montrent non seulement que les entreprises ne sont pas prêtes pour le RGPD, mais qu’elles ne prennent pas les mesures nécessaires à leur conformité. Il y a une déconnexion évidente et significative entre l’importance que revêt la confidentialité et la sécurité des données pour les consommateurs, et la priorité des entreprises », a expliqué Laurent Lecroq, Directeur Général de Symantec en France.

Plus de 50% des entreprises ne sont pas, aujourd’hui, en conformité avec les exigences imposées par le règlement RGPD (Etude Veritas)

Désignation d’un Délégué à la protection des données

A l’heure actuelle, un certain nombre d’entreprises ne semblent pas conscientes de l’urgence de se mettre en conformité avec la future législation européenne. Elles seront pourtant soumises à un certain nombre de nouvelles obligations. Comme celle de désigner un DPO (Délégué à la protection des données) pour tous les organismes dont les activités de base exigent un suivi régulier et systématique à grande échelle des personnes ou qui les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations.

Le DPO devra informer et conseiller le responsable du traitement et le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leurs incombent en matière de protection des données. D’après l’article 39 du règlement européen, le délégué aura également pour mission de contrôler le respect du texte y compris « en ce qui concerne la répartition des responsabilités, la sensibilisation et la  formation du personnel participant aux opérations de traitement, et les audits qui s’y rapportent ».

Protection des données dès la conception et par défaut

Jusqu’à maintenant, en France, les entreprises étaient tenues de remplir une déclaration auprès de la Cnil (Commission Nationale de l’Informatique et des Libertés) lorsqu’elles procédaient à un traitement de données personnelles. Une obligation qui n’aura plus lieu d’être avec la mise en place, via le RGPD, du concept de « Privacy by design ». Elles devront désormais réfléchir à la protection des données personnelles en amont de la conception d’un produit ou d’un service.

D’après l’article 25 du nouveau règlement « le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ». En particulier « ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée ».

Création et maintien d’un registre des traitements

Au-delà des questions liées à la conception des produits et des services, le texte prévoit la création et le maintien à jour d’un registre des traitements. L’article 30 du nouveau dispositif prévoit que ce registre renseigne sur les finalités du traitement  et qu’il comporte une description des catégories de personnes concernées et des catégories de données à caractère personnel. Les entreprises seront en outre tenues de préciser les catégories de destinataires auxquelles les données ont été ou seront communiquées et dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données.

En cas de violation de données à caractère personnel, le DPO devra, 72h au plus tard après en avoir pris connaissance, le notifier à l’autorité de contrôle. L’article 34 du RGPD indique que ce signalement devra intervenir « lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ». Le responsable du traitement devra prendre des mesures qui garantissent que le risque élevé n’est plus susceptible de se matérialiser.

Image © Pexels