Go to Top

La nouvelle réglementation sur la protection des données arrive – 8 choses à faire pour vous préparer !

Avec l’approbation du règlement européen sur la protection des données (RGPD) par le Parlement Européen le 14 avril, le règlement est maintenant validé et légal pour chaque entreprise des Etats membres de l’Union Européenne (la Grande-Bretagne et le Danemark ont négocié plusieurs exceptions en justice et en affaires intérieures – le règlement y sera donc limité). Pour tous les autres pays membres, la réglementation est maintenant valide et ses règles entreront en vigueur à partir du 25 mai 2018.

Puisque la protection des données de l’UE n’est pas une directive mais un règlement, il n’y a pas besoin d’adaptation dans la législation nationale locale – mais plusieurs pays vont très probablement le faire, et vont revoir leurs lois sur la protection des données existantes et sur des lois concernant les données personnelles – c’est une loi contraignante pour les états participants.

Chaque entreprise doit donc dès à présent vérifier si ses politiques et règles de traitement et de protection de données sont conformes à la nouvelle loi.

Quelles sont les innovations ?

  • Une loi unique, efficace dans toute l’Europe (et pour des entreprises hors UE traitant avec des entreprises européennes) : Comme nous l’avons souligné dans les précédents articles sur ce nouveau règlement, les améliorations ou les inconvénients sont fortement tributaires du pays où votre entreprise est installée. Presque tous les pays d’Europe ont déjà des lois dans leur juridiction locale protégeant les données. A travers ce règlement, l’objectif du Conseil et Parlement Européen est d’uniformiser les lois nationales des états membres.
  • Des règles plus strictes et des amendes plus élevées : Les amendes en cas de non-respect des règles sont si élevées qu’elles peuvent mettre en danger une société de taille moyenne : les amendes maximales s’élèvent à 20 millions d’euros et 4% du chiffre d’affaires mondial de l’entreprise. Il est donc plus qu’important de se conformer aux nouvelles règles !

Nouveaux champs de protection des données mis en œuvre dans le RGPD pour les entreprises

  • La gouvernance des données et de la responsabilité : Ceci est la partie la plus importante de la réglementation, qui impose de nombreuses obligations sur les contrôleurs afin de se conformer à la RGPD. Certaines de ces obligations existent déjà dans le droit allemand et français, mais pas dans tous les états membres. Par conséquent, ils doivent être introduits. Mais un élément est nouveau pour tous :
  • La protection intégrée de la vie privée (Art. 25) : La protection intégrée de la vie privée est très probablement l’une des obligations les plus importantes à laquelle les entreprises doivent faire face dans cette nouvelle réglementation. Les entreprises doivent adopter des politiques internes et mettre en œuvre des mesures techniques et organisationnelles pour que seules les données personnelles nécessaires à la réalisation d’une action spécifique soient traitées. De plus, les mesures prises par le contrôleur / entreprise doivent couvrir la quantité de données recueillies, l’étendue de son traitement, la durée de stockage et de son accessibilité. Aussi, les données ne doivent pas être rendues accessibles aux personnes qui ne sont pas impliquées dans le processus ou dans un projet !
  • Violation de données personnelles : Le RGPD introduit de nouveaux délais pour informer les autorités nationales de surveillance en cas d’atteinte à la sécurité des données. Dorénavant, l’autorité doit être informée dans les 72 heures. De plus, le contrôleur RGPD des entreprises doit tenir un registre de violation des données personnelles,
  • Les droits des personnes : Les articles 12, 15 à 23 traitent des droits des personnes. Dorénavant, une personne qui ne souhaite pas qu’une société utilise ses données personnelles possède plus de droit : elle peut ordonner aux entreprises d’effacer les données personnelles dans certaines circonstances.

8 conseils pour vous préparer dès maintenant au RGPD

Cette liste non exhaustive fait clairement apparaître l’ampleur de la tâche qui attend les entreprises pour se conformer aux nouvelles règles. Elles doivent obéir aux conseils  les plus importants qui suivent :

  • 1. Préparez-vous aux violations des données : Définir des lignes directrices claires et mettre en place des méthodes bien contrôlées pour vous assurer que vous réagirez rapidement en cas de violations des données et – le cas échéant – informerez rapidement,
  • 2. Mettre en place un cadre de responsabilisation : Assurez-vous que vous avez défini une politique claire pour prouver que vous répondez aux nouvelles normes. Mettez en place une surveillance sûre, des procédures d’inspection et de traitement pour minimiser le stockage des données et le traitement des données, ainsi que des mesures de protection,
  • 3. Mettre en œuvre la protection intégrée de la vie privée : Veiller à ce que la confidentialité des données est assurée dans tous les traitements de données ou dans les solutions logicielles utilisées,
  • 4. Analyser la base juridique sur laquelle vous utilisez des données personnelles : Etudiez quelles données vous traitez et vérifiez sur quelle base juridique vous utilisez des données personnelles. Vous pouvez ne pas avoir besoin de l’approbation d’un individu pour utiliser ses données, si vous avez un intérêt légitime dans le traitement des données. Mais vous devez vérifier. Si vous avez besoin d’une vérification, vos documents d’approbation et les formulaires appropriés doivent être vérifiés. Vous devez aussi vérifier si le consentement est donné volontairement et si vos informations sur le processus est précis et clairement compréhensible. En cas de doute, il vous incombera la charge de la preuve,
  • 5. Vérifiez votre politique de confidentialité et vos directives : Le RGPD suppose que l’information est donnée dans un langage clair et simple. Vos politiques doivent être transparentes et facilement accessibles,
  • 6. Pensez aux droits des personnes concernées : Soyez prêt à ce que les individus exigent leurs droits en vertu de la nouvelle RGDP (par exemple, le droit à l’oubli, la suppression des données et la portabilité des données). Si vous stockez des données personnelles, elles doivent obéir aux raisons légales pour le stockage de données personnelles. Encore une fois, vous avez la charge de la preuve si votre raison l’emporte sur les intérêts de la personne,
  • 7. Si vous êtes un fournisseur de données, vérifiez s’il y a de nouvelles obligations : Le RGPD comprend certaines obligations sur les fournisseurs de données qui doivent être comprises et intégrées dans vos politiques, procédures et contrats. Vérifiez si vos contrats sont suffisants et, en vertu de contrats existants, qui supportera les coûts supplémentaires des services causés par les nouvelles règles. Si vous faites appel aux services d’un tiers pour le traitement de vos données, il est très important de déterminer et de documenter ses tâches,
  • 8. Transfert de données transfrontaliers : Comme avec tous les transferts internationaux de données – y compris les transferts intra-groupes –  il est très important de vous assurer qu’ils respectent le cadre juridique nécessaire pour transférer des données personnelles dans un pays qui ne possède pas de règle décente en matière de protection de données. Ce n’est pas un problème nouveau, mais comme le non-respect peut entraîner une amende pouvant aller jusqu’à 4% du chiffre d’affaires, les conséquences sont maintenant plus douloureuses et peuvent entraîner une faillite.

Plusieurs volets de la nouvelle loi exigent des entreprises de non seulement stocker en toute sécurité des données, mais aussi de les supprimer en toute sécurité, soit à la demande de la personne concernée soit par la loi dans un délai très serré. A cet effet, il est sage d’utiliser une solution d’effacement de données spécialisée qui peut à la fois supprimer les fichier pour de bon et ainsi garantir le processus d’effacement avec un certificat.

Pour plus d’informations sur le RGPD, consultez le site du Parlement de l’UE sur cette question.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *