Gouvernance des données
La date du 25 mai 2018 sonne le glas de l'ancien régime de protection des données personnelles et annonce l'entrée en vigueur d'un nouveau dispositif introduit par le Règlement européen sur la protection des données.
La réforme répond à deux objectifs qui sont censés s'équilibrer. Le premier a vocation à renforcer la protection des données personnelles des personnes physiques. Le second tend à faciliter le commerce de l'information. Des obligations et droits relatifs à la protection des données dépendra donc l'étendue du marché des données. En tout état de cause, une mise en conformité avec le RGPD s'impose pour les responsables de traitement et les sous-traitants.
Principe d'accountability
La gouvernance des données personnelles, telle qu'elle ressort du RGPD, s'appuie sur plusieurs principes qui expriment l'esprit du règlement européen. Il s'agit en effet de responsabiliser les responsables de traitement et sous-traitants en les enjoignant de respecter certaines obligations. C'est une émanation du principe d'accountability qui exige la mise en œuvre de systèmes de contrôles internes et de mécanismes destinés à assurer la bonne application du règlement européen.
Recensement des traitements
En préalable à toutes mesures de mise en conformité, un état des lieux des pratiques est imposé aux responsables de traitement. Cette étape préparatoire, constitutive d'une cartographie légale, doit notamment permettre de déterminer la vulnérabilité des systèmes d'information, mais aussi de procéder à une analyse des risques ou d'impact du traitement des données personnelles sur les droits fondamentaux des personnes concernées. Elle est aussi l'occasion de recueillir les informations requises qui permettront de réaliser le registre des traitements de l'article 30 du RGDP, rendu obligatoire par le règlement européen.
Désignation du DPO
La nomination du DPO est obligatoire pour certains organismes et entreprises. Dans sa mission d'information et de conseil, le DPO est un allié de poids pour les responsables de traitement et sous-traitants, puisqu'il pourra les accompagner dans le processus de mise en conformité. Dans sa mission de contrôle, celui-ci coopère avec les autorités publiques et réalise un reporting sur les risques et les mécanismes de gestion de crise en cas d'atteinte à l’intégrité de la vie privée dans le traitement des données.
Certification
Le législateur européen donne la possibilité aux Etats membres de mettre en place des certifications, labels ou marques, qui permettent de démontrer le respect des obligations issues du RGPD. À cet égard, il existe un grand nombre de règles de droit souple, à l'instar de la Norme ISO, organisant déjà la protection des données personnelles. Les responsables de traitement et sous-traitants pourront par conséquent opter pour l'utilisation de tels outils.
La gouvernance des données personnelles est une préoccupation importante des citoyens européens. L'entrée en vigueur prochaine du RGPD apparaît donc comme un véritable progrès en matière de protection des droits et libertés fondamentaux.
