RGPD : les 8 priorités pour être prêt le 25 mai

Pierre Mangin,

A compter du 25 mai 2018, le RGPD s’impose à toutes les entreprises et organisations. Voici les principales procédures et de bonnes pratiques à appliquer. Faute de quoi la CNIL pourra infliger de lourdes amendes.

Le nouveau règlement  GDPR (General Data Protection Regulation), traduit en français par RGPD (Règlement Général sur la Protection des Données), renforce et clarifie le cadre légal existant*. Adopté par le Parlement européen en avril 2016, il entre en application ce 25 mai 2018 dans toute l’U.E.

Le  RGPD est « obligatoire dans tous ses éléments et directement applicable dans tout Etat membre » de l’UE.

Précisons qu’il s’agit uniquement des données sur les individus, « personnes physiques » et non sur les personnes morales (entreprises, organisations, collectivités). L’objectif est de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises ».

Un seul ensemble de règles, y compris hors UE

Le RGPD est une première au niveau mondial. Beaucoup d’observateurs estiment que les grands partenaires de l’UE seront vite contraints de s’en rapprocher, pour diverses bonnes raisons.

En cas d’infraction, le régulateur (la CNIL, en France) peut infliger des sanctions allant jusqu’à 2 % du chiffre d’affaires mondial ou 10 millions d’euros (le montant le plus élevé étant retenu) pour non-conformité et des amendes pouvant aller jusqu’à 4% du chiffre d’affaires ou 20 millions d’euros pour violation des droits sur les données de personnes physiques.

Il n’existe plus désormais qu’un seul ensemble de règles relatives à la protection des données à caractère personnel, un ensemble qui prévaut sur toutes les lois et dispositions antérieures.

Son application est « extra-territoriale » : toutes entreprises établies hors de l’UE (donc étrangères) et traitant des données relatives aux activités d’organisations ou entreprises européennes et ciblant des résidents de l’UE doivent s’y conformer.

C’est quoi une « donnée sensible »  ? 

Le règlement concerne explicitement « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ».

Il est également question des données « sensibles » : ce sont notamment celles « relatives à l’état de santé des personnes, leur état de fragilité, ou encore les données à caractère personnel relatives aux infractions et condamnations ».

Des mesures incontournables

En pratique, le RGPD impose des mesures incontournables, notamment celles-ci :

Le « consentement explicite et positif » des intéressés : l’accord doit être obtenu de façon claire et non par défaut, par les entreprises ou organisations exploitant de telles données ;

> Le « Droit à l’effacement » : il remplace le « droit à l’oubli » et peut être invoqué pour 6 motifs. La purge des fichiers doit être exécutée « dans les meilleurs délais »;

> Le « droit à la portabilité des données personnelles » : chacun peut exiger d’un responsable de traitement que le fichier de ses données individuelles lui soit remis « dans un format structuré, couramment utilisé et lisible par machine ». Chacun doit pouvoir ainsi les transmettre à un autre responsable de traitement, ou obtenir, si c’est techniquement possible, que la transmission soit faite directement ;

> Le « profilage » : toute personne peut refuser de faire l’objet d’une décision fondée sur un traitement automatisé, y compris le « profilage », ayant des effets juridiques ou l’affectant de fait ;

> La protection des données « dès la conception » (‘privacy by design’) et un « dispositif de « sécurité par défaut » : le responsable de traitement doit prendre des mesures préventives de protection des données personnelles dès la conception des produits, services ou systèmes qui doivent donc être sécurisés;

> La « notification en cas de fuite, vol ou violation de données »: le détenteur de données personnelles doit avertir, « dès que possible » et dans un délai maximal de 72 heures, l’autorité nationale de protection (la CNIL, en France). La mesure ne s’applique pas s’il est établi que les données sont chiffrées, réputées inviolables, et elle est assortie d’exception pour les organisations de moins de 250 salariés ;

> Une étude d’impact : tout traitement ou activité traitant de données à caractère personnel doit être précédé d’une « étude d’impact sur la vie privée » qui prévoit des mesures préventives de protection de ces données.

Continuez Page 2 : Le rôle du DPO