RGPD : Protection des données personnelles

En effet, le renforcement de la protection des données à caractère personnel se traduit dans le règlement européen par la sensibilisation des responsables de traitement et des sous-traitants. Le texte du règlement présenté par la Commission européenne a donc opté pour une approche dite « par les risques », contrairement à la Loi informatique et Libertés. Cette nouvelle approche fait naître l’obligation de mettre en place une gouvernance des données personnelles garantissant la protection des données : l’on parle d’« accountability ». En contrepartie, les déclarations et autorisations effectuées auprès de la Commission nationale Informatique et Libertés deviendront l’exception.

Dans cette optique, les entreprises devront rédiger une politique générale de la protection des données qui sera le socle de la gouvernance.

Ce document décrira les moyens permettant d’assurer le respect de la protection des données personnelles.

Il définira notamment :

• Les différentes procédures : procédure sur les traitements des demandes des personnes, sur les transferts de données notamment par l’encadrement des flux transfrontières, sur l’information des individus, sur la notification des failles de sécurité, sur la durée de conservation, sur les modalités d’archivage et les analyses d’impacts.
• L’organisation détaillée permettant de veiller à la protection des données : les acteurs de la gouvernance, la remontée des alertes, le dispositif de contrôle, la cartographie des risques ainsi que la mise en place de plans d’actions, l’organisation d’actions de formation et sensibilisation.

Les principes de protection des données dès la conception ou de protection des données par défaut (privacy by design/by default) nés du RGPD, vont dans la logique d’une documentation de la conformité du traitement des données personnelles, puisqu’ils imposent aux responsables de traitement d’anticiper, dès la conception d’un produit ou d’un service, le respect de la protection des données par la mise en place de mesures techniques et organisationnelles.

Le responsable de traitement devra, dans ce cadre, tenir compte du principe de minimisation des données en s’assurant que les données collectées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, mais aussi respecter les règles de durée de conservation afin de pouvoir purger les données concernées le moment venu. Il devra veiller aussi à la conformité du recueil du consentement.

Les entreprises ont aussi l’obligation de sécuriser les données afin de garantir leur confidentialité et leur intégrité notamment par le maintien en condition opérationnelle de leur système d’information. Cette sécurisation peut aussi passer par des techniques de chiffrement, par une politique d’habilitation pour avoir accès à certaines données. Par exemple, les données relatives à la santé sont des données dites sensibles qui nécessitent des mesures de sécurité particulières.

Il faut noter que le règlement impose une obligation de notifier les failles de sécurité à la CNIL et de notifier ces mêmes failles aux personnes concernées dans la mesure ou la violation serait susceptible d’engendrer un risque élevé d’atteinte à leurs droits et libertés.

La protection des données se traduit aussi dans le règlement par un renforcement du droit des personnes. Il s’agit notamment du droit à la portabilité de ses données, du droit à l’oubli et du droit de demander la suppression de ses données.