Nouvelle loi sur la Protection des Données Personnelles (RGDP)
Le est entré en vigueur le 25 Mai 2018.
Il s’agit d’un règlement qui impacte à la fois l’infrastructure informatique, les processus et les personnes.
Le RGPD s’applique à toutes les organisations (entreprises, établissements publics, associations…) traitant des données de citoyens européens ou de personnes résidant dans un pays de l’Union européenne.
Le traitement des données désigne entre autres la collecte, l’accès, le stockage, la manipulation, la destruction et la consultation à distance. Une entreprise qui externalise la collecte et le stockage des données personnelles est considérée comme faisant du traitement de données si elle les consulte à distance.
Tous les services des entreprises sont potentiellement concernés par cette réglementation : service client, marketing, ressources humaines, facturation, service juridique, service commercial.
Une donnée à caractère personnel désigne toute information identifiant directement ou indirectement une personne physique.
Par exemple, les données privées ou professionnelles, noms, adresses postales, téléphones, photos, adresses email, nom d’utilisateur, date de naissance, coordonnées bancaires, publications sur les réseaux sociaux, informations médicales, un numéro d’identification, une plaque d’immatriculation, le numéro de l’assurance vieillesse, un identifiant en ligne, un cookie, des informations de localisation, etc., et même l’adresse IP.
Ainsi que les éléments spécifiques propres à une identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
De même, les données comportementales collectées sur Internet, si elles sont corrélées à une identité, deviennent des données à caractère personnel.
Autre exemple : la collecte de données sur des représentants d’une entreprise (à partir de cartes de visite par exemple) entre dans le champ d’application du RGDP.
Les grandes lignes du règlement
- Recueil du consentement de l'utilisateur (dans les cas où il est obligatoire, par exemple pour le recueil de données sensibles) : il doit être effectué par type d'usage et non de manière globale. Le consentement recueilli doit être explicite.
- Mise en place d'outils permettant à l'utilisateur d'exercer son droit d'accès aux données, son droit de les rectifier, son droit de s'opposer à certains types de traitements (profilage par exemple), son droit à la portabilité des données, qui lui permet de récupérer toutes les données communiquées à une plateforme (réseau social, site marchand, site de streaming…) soit pour les conserver, soit pour les transférer vers autre opérateur (une autre application par exemple).
- Privacy by design : l'entreprise doit dans la mesure du possible intégrer la protection de la vie privée dès la conception du logiciel ou du service et mettre en place les outils adéquats pour préserver la liberté de choix de l'utilisateur : possibilité de cocher ou décocher la géolocalisation dans un smartphone, bouton sur une enceinte connectée signalant qu'elle est allumée et enregistre les conversations...
- Accountability ou auto-responsabilisation : il appartient à l'entreprise de prendre toutes les mesures nécessaires pour remplir ses obligations de protection des données, et être capable de le démontrer à tout moment. À cet effet, elle devra tenir un registre recensant les catégories de données traitées, les finalités du traitement, les pays où elles sont transférées, la durée de conservation, etc. Les entreprises qui, notamment, traitent des données à grande échelle devront désigner un délégué à la protection des données (DPO) dédié au contrôle de la conformité au GDPR. « Ce dernier va, par exemple, s'assurer que le DRH n'a pas conservé des fichiers de CV datant de plus de 2 ans ou que le système de pseudonymisation des données est effectif »,
- Security by default : l'entreprise doit prendre les mesures nécessaires pour sécuriser les données, « notamment par le chiffrement ou la pseudonymisation. Elle doit aussi mettre en place des outils de détection de failles de sécurité, car elle a l'obligation de notifier ces failles à la personne concernée et à la Cnil », Elle doit aussi être en mesure de déceler les failles affectant ses fichiers.
- Droit à l'oubli numérique : le droit à l'effacement des données est le pendant du droit au déréférencement d'une information ou d'un lien par un moteur de recherche. La personne peut s'adresser directement au responsable de traitement dans le cas, par exemple, où l'entreprise a conservé ses données plus longtemps que nécessaire au vu des finalités annoncées.
Plus d'informations sur Règlement (UE) 2016/679 du Parlement européen