Le Règlement Général sur la Protection des Données ou RGPD jouera un rôle très important concernant la conservation et la gestion des données par les entreprises et autres organisations. Cette règlementation entre en vigueur dans les pays de l’Union Européenne à partir du 25 mai 2018, c’est à dire après-demain. Les entreprises seront soumises à des obligations à la suite de l’application du RGPD : d’abord, elles devront garder un registre de traitement. Celui-ci remplace la déclaration faite jusqu’alors à la CNIL (Commission Nationale Informatique et Libertés). Avec ce registre, les entreprises seront plus respectueuses de la vie privée. Le respect des obligations commence dès la création d’un produit ou service. Il faut un niveau élevé de sécurisation du système pour éviter que les informations soient accessibles à toute personne non autorisée. Ensuite, un délégué doit être nommé par chaque organisation. Cette personne doit assurer la mise en place du RGPD. Les entreprises disposent de 2 ans pour appliquer les changements nécessaires afin de se conformer au RGPD.
Les changements à entreprendre
Le RGPD exige des changements en matière de traitement des données et aussi des modifications de votre gestion humaine de ces informations.
Les éléments à prendre en compte sur le plan humain tout d’abord :
- Les consommateurs restent les seuls propriétaires de leurs données.
- L’exercice de leurs droits leur revient. Ainsi, un consentement explicite est réclamé avant l’utilisation des données, ça s’appelle l’opt-in.
- Les entreprises doivent respecter la vie privée des propriétaires des données.
- Si un risque d’intrusion se présente, une étude d’impact est exigée au préalable.
- La règlementation exige que les consommateurs doivent connaître la destination d’usage de leurs données. Il faut donc appliquer la transparence.
- À la demande des consommateurs, les entreprises ont le devoir de supprimer leurs données. La suppression est automatique pour les contacts non joignables de 3 ans et plus.
Les aspects techniques ensuite :
- Les données doivent être protégées dès la conception des services ou biens de l’entreprise.
- Les propriétaires de données doivent pouvoir s’inscrire délibérément et en toute connaissance de cause : cela marque l’autorisation de traitement des données. Le profilage peut donc être entrepris par les organisations. Les entreprises ont le droit de recourir à cette technique pour leurs actions marketing. Toutefois, il faut informer la personne concernée. Cette dernière peut s’opposer à l’action.
- Afin de protéger l’anonymat des consommateurs, les informations personnelles sont détachées des données utilisées. La justice donne aux consommateurs le droit à l’oubli numérique.
Les principes du RGPD
Avec le RGPD, les sanctions de la non-protection des données sont vraiment significatives et peuvent réellement compromettre la survie d’une entreprise prise en défaut. Par conséquent, l’enjeu et les efforts à déployer concernent l’entreprise entière si elle veut se protéger d’une action en justice.
La responsabilisation figure parmi les grands principes. Il n’est plus nécessaire de faire une déclaration à la CNIL, par contre, l’entreprise a une responsabilité d’auto-contrôle. Elle doit prendre des mesures internes pour la conformité des données traitées. Le registre tenu permet à l’organisation de pouvoir démontrer en tout temps qu’elle agit de manière conforme. Un principe de co-responsabilité est aussi démontré par le RGPD. Les sous-traitants ont un engagement de prudence. Ils doivent informer le premier responsable si des données font l’objet d’une fuite.
Aussi, le principe de « privacy by design » sera appliqué aux données traitées à partir du mai 2018. Il pousse l’entreprise à protéger les données dès la conception du produit jusqu’à son déclin. La prise en charge de la confidentialité par défaut des données répond au principe de « privacy by default ». Celui-ci aura effet sur tous les traitements en cours au moment de sa mise en vigueur.
Des étapes pour se préparer au RGPD
Avant la mise en place de la règlementation, chaque organisation doit désigner un pilote pour le programme. Ce responsable prendra en charge la gouvernance des données, on le nome le plus couramment le DPO pour Data Protection Officer. Il aura une mission d’information pour mettre toute l’équipe au courant. C’est aussi un individu chargé de conseil. Il doit effectuer les contrôles internes de la conformité aux principes. Pour l’instant, avoir un correspondant informatique est urgent afin d’organiser les actions à mettre en place soit en interne, soit avec l’aide d’un cabinet de conseil spécialisé. La deuxième étape consiste à cartographier les traitements. Il s’agit de recenser précisément les données traitées. Cette tâche permet de mesurer l’impact des actions effectuées. Le registre des traitements est ici utile. Ensuite, il faut une priorisation des actions à accomplir.
En consultant le registre, le DPO pourra identifier les priorités selon les risques de traitement. Après l’identification de ces risques, il faut les gérer. Cela consiste à faire une étude d’impact des traitements sur la protection des données. Lorsque la vie privée des consommateurs est en risque, l’analyse fait partie des obligations de l’entreprise. Organiser des procédures internes figure parmi les préparations du RGPD. Il faut des procédures qui tiennent compte des mesures nécessaires en cas d’évènements inattendus tels que la faille de sécurité. Enfin, la préparation exige la documentation. L’entreprise doit prouver qu’elle est conforme. À chaque étape, il est important de réaliser des documents. Ces écrits passent par des actualisations et des réexamens. Par conséquent, les données sont protégées de manière continue.