Le futur règlement européen sur la protection des données personnelles entrera en application en mai 2018. Il change radicalement la façon dont les entreprises devront garantir le respect de la vie privée. Revue de détail.
Le compte à rebours est lancé. Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) entrera en vigueur. Une année qui ne sera pas de trop tant le futur texte européen introduit de changements à la fois organisationnels et techniques. C’est particulièrement vrai pour les PME qui, peu sensibilisées par le sujet, accusent déjà un retard à l’allumage.
À la différence de la directive européenne de 1995, il n’y aura pas de délai de grâce. Pas de transposition dans le droit national, le règlement européen s’appliquera le jour même. « Il donne un cadre homogène et harmonisé entre les différents États membres », se réjouit Thomas Kaeb, senior sales manager business solutions chez le fabricant de périphériques de saisie Wacom.
Thomas Kaeb
Avec le RGPD, la protection des données personnelles devient un enjeu d’importance au regard du montant des amendes prévues : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel. Le préjudice peut être plus élevé encore en termes d’e-réputation et d’impact sur le business. En cas de fuite de données, les entreprises devront alerter dans les meilleurs délais – si possible dans les 72 heures après en avoir pris connaissance – la Cnil et les personnes concernées afin qu’elles puissent prendre les mesures appropriées (changement de mot de passe, par exemple).
Protection des données par défaut
Le RGDP change l’approche avec le régulateur. Plus de déclaration préalable à la Cnil ; l’organisation doit pouvoir constamment faire la preuve qu’elle est en conformité, et non seulement lors d’un contrôle de l’autorité. Ce qui passe par la tenue d’un registre actualisé recensant l’ensemble des traitements informatisés.
Le règlement introduit aussi les principes de « privacy by design » – le respect de la vie privée doit être pris en compte dès la conception d’un traitement. Et de « privacy by defaut », l’utilisateur devant exprimer son consentement express pour chaque traitement. « L’entreprise devra obtenir – et surtout pouvoir apporter la preuve – que les personnes ont explicitement consenti à ce que leurs données personnelles soient utilisées selon telle finalité (démarchage commercial, marketing, analyse statistique, revente à des tiers…) », précise Thomas Kaeb.
A posteriori, elles pourront exercer leurs droits d’accès, de rectification et de portabilité sur leurs données et revenir sur leur consentement. Ce qui passe par une mise à jour de la politique de confidentialité et des conditions d’utilisation. À travers une étude d’impact, il s’agira aussi d’évaluer le risque que porte un traitement au regard du respect de la vie privée. Les droits d’accès au fichier (personnes habilitées) et les dispositifs de sécurisation (anonymisation, chiffrement…) dépendront de cette criticité des données.
La coresponsabilité des fournisseurs
Pour mettre en œuvre ce projet réglementaire, l’entreprise nommera un Data protection officer. Ce DPO arrêtera la liste des traitements, évaluera les risques et posera le cadre d’une bonne gouvernance. Quels sont les processus internes qui vont garantir l’intégrité des données tout au long de la vie du traitement, de sa conception à sa destruction ? Quelle est la chaîne de responsabilités qui s’applique en cas de violation ? Oiseau rare aux compétences multiples (techniques, juridiques, gestion des risques…) le DPO fait l’objet d’une pénurie sur le marché de l’emploi.
Enfin, les bonnes pratiques ne s’arrêtent pas aux portes de l’entreprise. Cette dernière doit s’assurer que ses fournisseurs seront en conformité le jour dit. Cela concerne notamment les infogéreurs et les prestataires en mode Cloud. Ont-ils prévu de mettre en œuvre les dispositifs organisationnels et techniques nécessaires pour répondre aux nouvelles obligations ? L’insertion de clauses contractuelles viendra préciser ces responsabilités.
