RGPD : Gouvernance des données personnelles
Le 16 mai 2017, la CNIL condamnait la société Facebook à une amende de 150 000 euros, ainsi qu’à une mise en conformité, pour plusieurs manquements à la loi Informatique et libertés. Lors du contrôle, l’autorité administrative indépendante constatait que la société procédait à de massives combinaisons de données personnelles à des fins de profilage publicitaire. Il était également constaté que, par l’intermédiaire d’un cookie, la société Facebook traçait les internautes à leur insu pour déterminer leurs habitudes sur les sites tiers. Cette affaire illustre parfaitement les enjeux de la gouvernance des données personnelles dans une société dominée par l’utilisation des technologies numériques. C’est ce qui explique l’adoption récente du RGPD, par lequel le législateur européen espère renforcer le système de protection des données personnelles.
Vers un renforcement de la protection des données personnelles
Le RGPD, dont l’entrée en vigueur est fixée au 25 mai 2018, prévoit de nouvelles mesures relatives à la protection des données personnelles. Celles-ci sont assises sur certains principes forts tels que l’accountability, duquel il découle une responsabilité particulière des responsables de traitement. Il s’agit de mettre en place les contrôles internes et les mécanismes qui permettent de démontrer le respect des obligations inhérentes à la protection des données personnelles.
Dans cette perspective, la nomination du DPO, acronyme qui désigne le délégué à la protection des données, peut s’avérer utile pour garantir la conformité au règlement. En effet, bien que cette désignation ne soit obligatoire que pour certains organismes ou sociétés, rien ne fait obstacle à une telle nomination par l’ensemble des responsables de traitement et sous-traitants. Dans sa mission de conseil et d’information, le DPO peut accompagner les intéressés dans l’application du règlement et les aider à organiser la gestion de crise, par exemple. Celui-ci peut agir sur demande du responsable de traitement et demeure soumis au secret professionnel ou à l’obligation de confidentialité. (Art. 39 RGPD)
L'exigence de mise en conformité
A l’aube du renforcement de la protection des données personnelles, il revient aux organismes et entreprises d’établir une cartographie légale de leurs pratiques aux fins d’une mise en conformité. Cette phase nécessite d’établir un état de la sécurité de l’information, ainsi qu’une analyse des risques, pour répondre au principe de protection des données dès la conception.
Par ailleurs, dans la mesure où les États membres choisissent une telle voie (Art. 42 RGPD), les responsables de traitement pourront éventuellement décider d’opter pour la mise en place d’une norme ISO, c’est-à-dire une certification délivrée par une autorité indépendante, permettant d’établir que les traitements des données personnelles respectent le règlement européen.
Votre numéro de téléphone est uniquement utilisé pour nous permettre de vous rappeler. Pour en savoir plus sur la gestion de vos données dans le cadre de la gestion du suivi de notre relation précontractuelle et contractuelle, ainsi que sur vos droits, vous pouvez consulter notre politique de confidentialité.
Notre service client est à votre écoute via notre formulaire ou par téléphone :
