Le compte à rebours à commencer pour les organisations traitant des données à caractère personnel ! Dès le 25 mai 2018, avec le Règlement Général sur la Protection des Données (RGPD), tous les citoyens des pays de l’UE disposeront des mêmes droits sur leurs data. Et toutes les organisations de l’UE seront soumises à des règles identiques. Voici quelques grandes lignes de ces droits et obligations.
La généralisation des services numériques, du Cloud, de l’Internet des objets et de l’exploitation du Big Data a rendu nécessaire l’évolution des normes sur la protection des données à caractère personnel. C’est l’un des objectifs du RGPD (GDPR – General Data Protection Regulation, en anglais). Avec sa mise en application partout en Europe, le RGPD pose aussi les bases d’une harmonisation, devenue essentielle à l’échelon communautaire.
L’ensemble de ses mesures visent à apporter plus de transparence, à améliorer la confiance dans la gestion et la sécurité des données à caractère personnel pour «permettre au marché unique numérique de prospérer», comme l’ont déclaré les membres de l’UE.Le RGPD est donc maintenant le texte de référence, désigné par ‘’Règlement (UE) 2016/679’’. Il abroge la directive de 1995 (95/46/CE).
En France, ce nouveau règlement se substitue aussi à la Loi informatique et libertés de 1978, tout en renforçant ses principes. Le RGPD est un document imposant, comportant 99 articles (88 pages pdf en Français). Pour en simplifier la consultation, la CNIL a créé un dataviz interactif très utile (illustration ci-dessous) qui permet des recherches avec différentes entrées.
RGPD : une bonne nouvelle pour les citoyens européens
Parmi les grandes avancées du RGPD en matière de contrôle des citoyens face à l’exploitation de leurs données, on citera entre autres :
- Le consentement: le traitement de données à caractère personnel doit faire l’objet d’un accord explicite de l’utilisateur, exposant la finalité exacte du traitement ainsi que les droits de la personne (accès, rectification, effacement, opposition, …). Pour les mineurs de moins de 16 ans, la demande de consentement doit être rédigée en termes clairs et simples, et le consentement accordé par l’autorité parentale.
- La portabilité: c’est la possibilité de se faire restituer ses données dans un format structuré, couramment utilisé et lisible par machine, intéropérable pour éventuellement une transmission à un prestataire tiers.
- En cas de cyberattaque : les personnes dont les données ont fait l’objet d’une violation pouvant porter atteinte à leurs droits et liberté doivent être informées dans les plus brefs délais.
Aux citoyens européens de se familiariser avec leurs nouvelles possibilités de contrôle et de faire valoir, si besoin, leurs droits individuellement ou via une action collective.
RGPD : de nouvelles contraintes pour les organisations
Entreprises et institutions n’ont donc plus que 8 mois pour se conformer aux standards européens. Bien que les obligations aient été officialisés depuis mai 2016, les contraintes qu’elles imposent impliquent la mise en œuvre de chantiers importants au sein des structures, quel que soit le secteur concerné : retail, santé, banque/assurance, etc.
- Responsable de traitement des données: le chef d’entreprise devient juridiquement responsable de la mise en œuvre des mesures techniques et organisationnelles appropriées pour la protection des données, même dans le cas d’une délégation de traitement à un sous-traitant.
- Privacy by design : la protection des données doit être envisagée dès la conception du service ou du produit, et le responsable du traitement des données doit limiter au minimum la quantité de donnée à traiter dès la phase de conception.
- Analyse d’impact: en amont de certains types de traitement de données, le responsable doit analyser les risques pour les droits et libertés des personnes physiques.
- Désignation d’un Data Protection Officer (DPO) ou délégué à la protection des données : sa mission est d’informer, de conseiller le responsable de traitement des données des grandes entreprises, de vérifier le respect du nouveau règlement européen, d’être le contact avec l’autorité de contrôle (en France, la CNIL). Nommé en fonction de son expertise, il peut être un collaborateur de l’entreprise ou une ressource externe.
- Sanctions: elles peuvent être lourdes pour les organisations en non-conformité avec ce nouveau règlement : jusqu’à 4% du chiffre d’affaires annuel mondial pour une entreprise du secteur privé.