MISE EN CONFORMITÉ RGDP - DONNÉES PERSONNELLES

La mise en conformité RGPD est, tout comme le droit pénal du numériqueun enjeu de protection de la vie privée. En effet, le respect de la dignité humaine n’est pas simplement une protection du corps. 

C’est également une protection de l’homme dans son individualité. Mais aussi dans ses interactions, dans ses choix, dans sa façon de penser. En somme, c’est une protection de son intimité personnelle.

Dès lors, la mise en conformité RGPD a pour objectif d’imposer une certaine rigueur et des normes de sécurité à tout processus de traitement des données 

Pour entamer ce processus de conformité, un accompagnement par des professionnels qualifiés. On vous explique en quelques lignes les enjeux de cette conformité. 

rgpd, données personnelles

 

Informatique et libertés – Droit des données personnelles


La protection des données personnelles trouve son origine dans les développements de l’informatique et du web. Les inquiétudes provoquées par la création du système de fichage SAFARI en 1973 marque le début de ce souci de protection. Depuis lors, la question n’a cessé de prendre de l’ampleur.

En premier lieu, par l’adoption de la loi Informatique & Libertés en 1978. Elle s’accompagne par la création de la Commission chargée d’accompagner l’évolution de l’informatique et de veiller au respect des libertés individuelles et de la vie privée (la CNIL).

Puis, par l’adoption de la loi n° 78-17 du 6 août 2004  relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel. Ensuite, cette dernière fut complétée par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique

Les nouvelles exigences du RGPD


 

Enfin, le Règlement n° 2016-679 dit Règlement général sur la protection des données du 14 avril 2016 (RGPD) adopté par le Parlement européen est l’aboutissement de ce souci constant d’éviter le détournement des données personnelles.  Il impose un renforcement de la sécurité exigée et place les acteurs concernés au coeur de leur responsabilité.  

Aujourd’hui, il n’est plus possible que ce soit à titre personnel ou professionnel d’échapper à sa trace numérique. Ni, à l’évolution constante des techniques d’information (cloud computing, Big Data, blockchain). Aussi, cela suppose qu’un encadrement constant de l’utilisation des données personnelles (les vôtres, celles de vos clients, celles de vos salariés) soit mis en oeuvre. 

Cet encadrement passe par une étude approfondie de vos pratiques entrepreneuriales dans différents domaines. En effet,  les ressources humaines, le marketing, la comptabilité ainsi que de la sécurité informatique sont autant de secteurs qui doivent être étudiés. La mise en conformité RGPD suppose la réalisation préalable d’un audit. 

Une fois cet audit réalisé, un plan d’action sera proposé dans un second temps. Il recense les actions à mettre en oeuvre au sein de l’entreprise ou l’établissement.  

 

Mise en conformité RGPD: l’audit


Le Règlement européen sur la protection des données impose une nouvelle approche fondée sur le principe de l’accountability.

La mise en conformité RGPD suppose d’interroger et d’auditer les stratégies mises en oeuvre par le responsable de traitement sur le recueil, l’utilisation et la conservation des données. L’audit comporte ainsi: 

  • en premier lieu, l’inventaire des traitements mis en oeuvre ;
  • en second lieu, l’évaluation des pratiques et procédures existantes ;
  • puis, l’identification des risques liés aux traitements ;
  • enfin, l’analyse du système de sécurité informatique et des mesures techniques mises en oeuvre pour la protection des données personnelles. 

En résumé, l’audit de mise en conformité est d’abord un audit organisationnel. Il est également et surtout une analyse du système de sécurité informatique. 

Il aboutit à :

  • la restitution d’un rapport listant toutes les failles constatées et points d’amélioration à engager ;
  • la restitution d’une feuille de route qui récapitule toutes les actions que la structure devra mettre en oeuvre, seule ou accompagnée pour assurer sa conformité.  

En effet, dans les situation les plus risquées, le Règlement européen exige la nomination au sein de l’entité d’un DPO. Le DPO est le Data Protection Officer, également appelé délégué à la protection des données.  

 

 

 

Après l’audit, un accompagnement facultatif


Une fois l’audit réalisé, nous proposons un accompagnement facultatif de la structure, conformément à la feuille de route préalablement établie, pour la mise en conformité de cette dernière. 

Cet accompagnement porte: 

  • sur la cartographie des données à caractère personnel (élaboration et tenue du registre des traitements) ;
  • l’information et l’exercice des droits des personnes concernées 
  • sur la rédaction de la documentation contractuelle (les contrats de sous-traitance, les CGU et/ou CGV, la politique de confidentialité, les mentions légales, la charte informatique et les clauses protection des données personnelles);
  • éventuellement sur l’analyse d’impact à la protection des données quand cette dernière s’avère indispensable à mettre en oeuvre (article 35 du Règlement) ; 
  • également, sur l’assistance en qualité de délégué à la protection des données – DPO – au travers de notes juridiques d’actualité, d’une information continue de la structure sur ses obligations et de la sensibilisation de son personnel. 

Les sanctions


La démarche semble lourde. Elle n’en est pas moins légitime. Rappelons qu’en terme de sanctions, les sanctions civiles prononcées par la CNIL peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire. 

De la même façon, si la défaillance relève d’une infraction pénale, des sanctions pénales pourront également être prononcés au terme d’un renvoi devant le tribunal correctionnel. 

Enfin, l’intrusion dans votre système informatique peut également générer un vol de données, un ralentissement de votre activité économique. Autant de désagréments qui peuvent paralyser le bon fonctionnement d’une entreprise ou d’un établissement. 

Fermer le menu