PICTO RGPD
Votre entreprise est-elle
en conformité avec le RGPD ?
Faites le test PICTO RGPD

Traitement des données personnelles

Traitement des données personnelles

D'aucuns considèrent que "L'humanité produirait en deux jours autant d'informations qu'elle en aurait produit pendant deux millions d'années". Cet état de fait, rendu possible par la conjonction des technologies numériques et des réseaux de communication, a marqué l'entrée de plein pied dans l'ère du "big data".

Si ces "mégadonnées" constituent une ressource économique incontestable, le traitement de certaines informations représente un danger pour les droits et libertés fondamentaux des individus. Le premier considérant du Règlement européen sur la protection des données applicable à compter du 25 mai 2018, ne dit pas autre chose lorsqu'il retient que "la protection des personnes physiques à l'égard du traitement des données à caractère personnel est un droit fondamental". Reste à déterminer la nouvelle méthodologie envisagée par le législateur européen pour établir un équilibre entre des intérêts parfois antagonistes : celui du respect des droits fondamentaux et la constitution d'un marché unique numérique.

Dimension technique de la protection des données personnelles

Le RGPD évoque à plusieurs reprises la nécessité de mettre en œuvre des mesures techniques. Il s'agit notamment de garantir la sécurité des Systèmes d'Information contre les intrusions frauduleuses. Aussi, ces mesures de sécurité doivent-elles être pensées en amont, mais aussi en aval des traitements. Il s'agit en particulier d'une juste application du principe de la protection des données dès la conception et du principe de la protection des données par défaut. On songe par exemple aux problématiques de sécurité et gestion des failles qui interviennent tout au long du processus de traitement. Il s'agit aussi d'assurer la confidentialité des données par l'utilisation de logiciels de cryptographie de chiffrement ou encore de conditionner techniquement l'accès et la communication des données.

Le traitement de données à caractère personnel ne peut résulter d'une activité improvisée et doit suivre une logique strictement définie, dont les responsables de traitement et les sous-traitants doivent rendre compte.

Dimension organisationnelle de la protection des données personnelles

Nécessaire mais pas suffisant, l'aspect technique est une composante de la dimension organisationnelle dans laquelle il s'inscrit. Le règlement européen prévoit en effet un certain nombre d'obligations qui représentent autant d'outils pour les responsables de traitement. Tel est le cas de l'analyse d'impact relative à la protection des données prévue à l'article 35 du règlement européen. L'alinéa 1er du texte précise en effet que lorsqu'un type de traitement est susceptible, en raison de sa nature, du contexte et de ses finalités, d'engendrer un risque élevé pour les droits des personnes physiques, le responsable du traitement doit procéder, préalablement à tout traitement, à une analyse de l'impact de ces opérations sur la protection des données à caractère personnel. Lorsque les risques sont avérés, l'analyse doit contenir a minima les différentes mesures, garanties et mécanismes de sécurité permettant d'y faire face. C'est aussi le cas des registres de l'article 30 du RGPD. Ce document interne dont les éléments décrivent l'organisation des activités de traitement recèle également une fonction probatoire à l'égard des autorités de contrôle.

Outre la dimension technique et administrative, le législateur européen confère à l'organisation de la protection des données personnelles un caractère contractuel, en particulier dans le cadre d'un traitement réalisé par des sous-traitants pour le compte d'un donneur d'ordre. Le Considérant 81 du RGPD exige en effet la conclusion de contrats et mentions obligatoires portant expressément sur les garanties de protection des données à caractère personnel. Qu'il s'agisse de l'objet, de la nature et des finalités du traitement, du type de données personnelles, des catégories de personnes concernées ou encore de la durée de conservation et purge, le contrat participe à la gouvernance des données personnelles, dans le mesure où il permet d'encadrer les pratiques conformément à la réglementation. Cette nouvelle exigence implique une actualisation des contrats en cours et une mise en conformité des contrats à venir, à la charge du responsable de traitement et des sous-traitants. Il s'agit d'une illustration de ce que le garde des sceaux qualifie d' "importantes incidences des nouvelles normes sur la législation française" dans l'exposé des motifs du projet de loi relatif à la protection des données personnelles déposé à l'Assemblée nationale en décembre dernier.

Selon l'Institut CSA, en 2017, 85 % des Français se disent préoccupés par la protection de leurs données personnelles, chiffre en augmentation depuis 2014. L'adoption du RGPD répond par conséquent à une préoccupation citoyenne tant nationale qu'européenne, quant aux sorts des données collectées. S'il est encore trop tôt pour évaluer sa portée concrète, il est certain que cette nouvelle réforme fait montre d'une volonté d'affermir la protection des données à caractère personnel. Par ricochet, celle-ci contribue à la prévalence des droits fondamentaux et, en particulier, celui du droit à la vie privée. Bien que contraignant, le RGPD constitue un progrès dans la protection des données dans une société dominée par les réseaux et les technologies numériques.

En savoir plus sur le Règlement Général de Protection des Données (RGPD)
Recevez votre feuille de route personnalisée à la RGPD
Produit
Le Lamy droit du numérique
Immatériel
Protection du logiciel, RGPD, contrats numériques… toutes les règles 
 AJOUTER AU PANIER
Formation
RGPD
Le Règlement Européen Données Personnelles (RGPD / GDPR)
1020 € HT
Objectifs
  • Être à jour des obligations liées à la protection des données (General Data Protection Regulation / GDPR)
  • Prévenir les risques liés à l'exploitation de données personnelles
  • Sécuriser les transferts internationaux des données
Formation e-learning
RGPD
Protection des données personnelles : sensibilisation au règlement RGPD

Parcours ludique en digital Learning alternant des activités pédagogiques interactives pour faciliter la mémorisation et valider la bonne compréhension des concepts

Objectifs
  • Sensibilisation aux enjeux de la Data
  • Cartographie des données personnelles
  • Concepts clés du Traitement de la donnée personnelle
  • Encadrement des données personnelles : ce qui change avec le RGPD-GDPR
  • Nouvelles obligations et sanctions associées
  • Comprendre la chaîne des responsabilités