Disons-le franchement, à l’heure actuelle, la collecte et le traitement des données personnelles, c’est un peu le Far West… Qui n’a pas cliqué sur « oui » lors de l’installation d’une application qui demande à avoir accès à votre liste de contacts, ou à votre galerie de photos ? Acte qui revient un peu à signer un chèque en blanc en croisant les doigts pour que ça ne se retourne pas contre vous…
Pour mieux protéger le citoyen européen face à des requêtes abusives et des traitements risqués, le Règlement Européen (2016/679) sur la Protection des données personnelles entre en vigueur le 25 mai 2018.
Cela, bien évidemment, implique un surcroît de travail pour les entreprises. En effet, dès l’entrée en vigueur du nouveau règlement, les principes de « privacy by design » et de « minimisation » seront appliqués.
Qui est concerné ? De quoi s’agit-il ? C’est ce que nous allons voir dans cet article.
Qui est concerné ?
Les sous-traitants sont également soumis à la réglementation des données personnelles.
Est concerné par ce règlement tout organisme qui collecte ou traite des données à caractère personnel autrement dit, toutes les entreprises.
La grande nouveauté, c’est que les sous-traitants sont également soumis à la réglementation des données personnelles. La CNIL nous dit : « Alors que le droit de la protection des données actuel concerne essentiellement les « responsables de traitements », c’est-à-dire les organismes qui déterminent les finalités et les modalités de traitement de données personnelles, le projet de règlement étend aux sous-traitants une large partie des obligations imposées aux responsables de traitement. »
Le règlement en quelques mots
L’entreprise devra recenser les traitements des données personnelles qui ont cours dans l’entreprise, évaluer leur pratique, identifier les risques associés et prendre les mesures nécessaires. Et par-dessus tout cela, maintenir une documentation assurant la traçabilité de ces mesures.
Le texte adopté est un règlement européen. Il sera donc directement applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents États membres. De plus, il concerne les traitements en cours tout comme les traitements qui seront effectués à partir de cette date.
En pratique l’entreprise va être amenée à évaluer la qualité du traitement des données personnelles qu’elle effectue. C’est-à-dire recenser les traitements des données personnelles qui ont cours dans l’entreprise, évaluer leur pratique, identifier les risques associés et prendre les mesures nécessaires. Et par-dessus tout cela, maintenir une documentation assurant la traçabilité de ces mesures.
Et pour info, les sanctions en cas de non-conformité s’élèvent à 4% du chiffre d’affaire…
De nouvelles préoccupations
En effet, dès l’entrée en vigueur du nouveau règlement, les principes de « privacy by design » et de « minimisation » seront appliqués. C’est à dire que d’une part, le traitement, les transferts et la conservation des données devront être pensés en amont de la sortie d’un produit pour respecter les conditions de protection des données du règlement. De plus, les organismes seront priés de se limiter aux données nécessaires pour atteindre un but de traitement précis ; données qui devront être conservées sur une durée limitée, celle nécessaire pour atteindre la finalité du traitement.
On comprend aisément que la mise en place de ces mesures requiert un chef d’orchestre. Ce sera le Délégué à la protection des données dont la désignation est obligatoire si vous êtes un organisme public ou une entreprise dont l’activité de base vous amène à traiter un grand nombre de données (ex : banques, assurances,…).
Même si votre organisme n’est pas formellement dans l’obligation de désigner un Délégué à la protection des données, il est fortement recommandé de désigner une personne chargée de s’assurer de la mise en conformité au règlement européen.
Suivez ce lien si vous souhaitez savoir ce que nous proposons pour vous faciliter la tâche.
Pour recevoir nos news une fois par mois, abonnez-vous à la newsletter !