10/01/18

Protection des données de vos clients : penser autrement, c’est maintenant !

Décryptages

Le 25 mai 2018 entrera en vigueur le Règlement Général de Protection des Données (RGPD). Ce règlement européen sera immédiatement applicable à tous les organismes (privé ou public) traitant ou faisant traiter des données personnelles d’individus européens.

Autant dire qu’il faut se préparer dès maintenant, et pas que dans vos DSI !

Des droits actuels qui sont réaffirmés

Aujourd’hui, la législation actuelle (Directive Européenne de 1995 + Lois Informatique et Libertés) prévoit pour les citoyens français :

  • Le droit d’information sur la nature du traitement au moment de la collecte
  • Le droit à la demande de consentement de la personne qui délivre ses données
  • Le droit d’opposition (refus d’utilisation des données à des fins commerciales)
  • Le droit d’accès (possibilité de consulter ses données possédées par un organisme)
  • Le droit de rectification (possibilité de corriger les informations détenues par un organisme)
  • Le droit à l’oubli (suppression des données)

Qu’est-ce que cela change pour les entreprises ?

Pour bien comprendre les conséquences du RGPD du point de vue de l’entreprise, il est nécessaire de s’approprier des nouvelles notions inspirées des standards anglo-saxons :

  • Le principe d’« Accountability » sert de base au RGPD afin de définir la responsabilité des entreprises quant au respect de ses nouvelles obligations envers la CNIL et les personnes concernées.
  • Le principe du « Privacy by Design » impose que tout traitement mis en œuvre par l’entreprise soit conçu dès le départ et par défaut pour protéger les données personnelles (Analyse et Prévention des risques en amont du projet)
  • La création d’un poste de Data Protection Officer (DPO) en charge de la conformité des traitements des données. Il sera très souvent inévitable dans les grands groupes et obligatoire dans le secteur public.

Parmi les différences notables, les organismes devront être en mesure d’être capable de démontrer à la CNIL la conformité de leurs traitements de données via :

  • La tenue d’un registre des activités de traitements (sauf si moins de 250 salariés)
  • La réalisation d’Analyses des Risques (PIA)
    • Si les traitements reposent sur l’évaluation systématique d’aspects personnels des personnes physiques sur la base de laquelle sont prises des décisions qui affectent la personne. Par exemple : le profilage des clients.
    • Si les données sont sensibles (judiciaires, santé, religion, origine raciale, syndicat, données génétiques et biométriques). Par exemple : les fichiers des hôpitaux.
  • La mise en œuvre de mesures techniques et organisationnelles appropriées pouvant être démontrées devant la CNIL. Par exemple : l’application de codes de conduite par secteur validés par la CNIL.

Notons aussi que les citoyens européens bénéficieront de nouveaux droits à intégrer dans les process des organismes :

  • Le droit de transférer ses données vers un autre fournisseur de services (droit de portabilité)
  • Le droit d’être informé en cas de piratage des données
  • Le droit à réparation des dommages matériel ou moral lié à une violation des données auprès du processeur du traitement défaillant
  • Le droit d’effectuer un recours collectif (comme pour la protection des consommateurs)

Et en cas de vol de données ou d’insuffisance de protection ?

En cas de violation de ses données, l’entreprise sera tenue d’informer :

  • La CNIL sous 72 heures
  • Les personnes concernées si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne

Il s’agit d’un enjeu majeur pour les entreprises étant donné les risques en termes d’image qui s’ajoutent aux sanctions judiciaires

Autre changement, et non des moindres, l’application des obligations de protection des données devrait être renforcée grâce à la sensible augmentation des sanctions encourues : jusqu’à 20 millions d’euros ou 4% du Chiffre d’Affaires mondial de l’entreprise (contre 300 mille euros avant le RGPD). N’oublions pas qu’avant cela, une mise en demeure de l’entreprise peut être prononcée ce qui peut être encore plus catastrophique qu’une amende.

En résumé, les sanctions en cas de non-respect du RGPD sont lourdes. Si votre structure / service n’en a pas entendu parlé, c’est qu’il est grand temps d’étudier la question car la protection des données dès la conception métier du traitement sera la nouvelle norme !

Pierre-Jean Monnier