La RGPD ou GDPR (General Data Protection Regulation ou Règlement Général sur la Protection des Données) entrera en vigueur dès le 25 Mai 2018. La RGPD permettra d’harmoniser le cadre juridique concernant la protection des données personnelles au sein de l’UE. L’UE pourra ainsi mieux surveiller les données personnelles qui circulent en encadrant avec des règles strictes les entreprises hébergeant et traitant ces données.
Nous évoquerons dans un premier article les exigences liées à la mise en place de la RGPD ainsi puis dans un deuxième les risques encourus par les entreprises en cas de non conformité.
Partie I: Les exigences de la RGPD
1. Réglementation pour tous (même hors UE)
La RGPD s’applique aux données personnelles de tous les citoyens de l’UE. Toutes les entreprises en affaires avec les pays de l’UE et utilisant les données personnelles des citoyens de l’UE sont soumises à la RGPD et doivent donc se conformer à la réglementation. Tout manquement ouvrirait droit à des sanctions de la part de l’autorité de contrôle .
2. Définition des données personnelles élargie
Avec la RGPD, la définition des données personnelles est élargie afin de prendre en compte d’autres critères permettant d’identifier un individu. L’élargissement des données personnelles prend désormais en compte l’identité génétique, psychique, culturelle, sociale ou économique. Il est recommandé de réduire au minimum les données personnelles stockées et de les conserver le moins longtemps possible, c’est à dire le temps nécessaire au traitement.
3. Consentement requis pour les enfants
Le consentement des parents est dorénavant requis pour les enfants de moins de 16 ans grâce à la RGPD. Chaque pays membre de l’UE peut s’il le souhaite réduire l’âge de 16 à 13 ans. Les audits doivent permettre de mettre en évidence des traces de ce consentement.
4. Modification des règles d’obtention du consentement
Le consentement donné pour l’utilisation des données personnelles doit être clair et sans ambiguïté. Il ne doit pas être induit. De plus, la non réponse à une demande de consentement ne vaut pas pour acceptation.
5. Nomination d’un DPO obligatoire pour certaines entreprises
Un Délégué à la Protection des Données (DPO) est requis pour certains les types d’organisation : organismes publics, organismes traitant des données sensibles, organismes procédant à de la surveillance à grande échelle… Le DPO devra avoir accès aux données à caractère personnel et aux systèmes de traitements de ces données.
6. Evaluation obligatoire d’impacts des risques sur la protection des données
Les activités de traitement des données sensibles nécessitent des évaluations obligatoires d’impacts des risques. Il faut donc mettre en place une approche sur les risques en amont. Il s’agit d’évaluer et de minimiser les impacts pour les personnes en cas de violation de ces données.
7. Notification en cas de violation des données
Une violation des données met à risque les droits et libertés des individus. En cas de violation, les vérificateurs (personnes en charge des contrôles internes) doivent signaler la violation dans les 72 heures à l’autorité de protection des données. Toute dérogation devra être justifiée.
En revanche, aucun délai n’est stipulé dans la RGPD concernant la notification de la violation aux individus concernées même en cas de risque élevé.
Suite à la violation des données, l’organisation devra être auditée régulièrement afin de prouver que le nouveau système est performant.
8. Droit à l’oubli numérique
La RGPD prévoit que chaque individu a le droit à l’effacement ou droit à l’oubli. Elle permet de supprimer tout ou partie de ces données personnelles dans certaines circonstances.
9. Transfert international des données
Les entreprises utilisant et transformant les données doivent prendre conscience d’un potentiel risque lors de transfert des données avec d’autres pays surtout hors UE.
10. Responsabilité du traitement des données
L’exploitation des données implique des responsabilités juridiques ainsi que des obligations pour les entreprises. Les documents contractuels devront préciser les obligations et les responsabilités de chacune des parties.
11. Portabilité des données
Tout individu pourra demander une copie de ses données personnelles auprès d’une entreprise dans un format électronique structuré et couramment utilisé sans que le responsable ne puisse s’y opposer. Cette copie doit pouvoir être transmise à une autre entreprise.
12. Autorité de surveillance unique
Un Comité européen de la protection des données sera créé et sera la seule autorité de surveillance pour l’ensemble des pays de l’UE concernant la RGPD. Ce Comité sera indépendant.
Dans la suite de l’article, nous vous présenterons les différents risques encourus en cas de non conformité à la RGPD au 25 Mai 2018.