RGPD : le contrat de confiance
jeudi 31 mai 2018, par Thierry Charles
Le Règlement général sur la protection des données personnelles (RGPD) entré en vigueur le 25 mai créé de nouvelles obligations pour toutes les entreprises manipulant des données personnelles ainsi que pour leurs sous-traitants.
Le Règlement général sur la protection des données personnelles (RGPD) est entré en vigueur le 25 mai 2018. Il vise une meilleure protection de la vie privée des citoyens européens et crée de nouvelles obligations pour toute entreprise manipulant des données personnelles, ainsi que ses sous-traitants. Aussi, la mise en conformité à cette réglementation représente pour les entreprises un véritable défi nécessitant de procéder à un changement de culture en matière de gouvernance des données personnelles.
A noter que si le règlement remplace la directive de 1995, il complète la loi française de 1978 dite « Informatique et Libertés », qui est maintenue pour certains traitements tout en s’adaptant au règlement (ainsi près de 70 à 80 % des dispositions reprennent des obligations qui existaient déjà !).
Logique de conformité
Désormais, les entreprises n’ont plus à faire de déclarations préalables à la Commission nationale de l’Informatique et des Libertés (Cnil) quand elles souhaitent mettre en place un traitement de données (vidéo-surveillance des locaux par-exemple), mais doivent entrer dans une logique de « conformité » ou « accountability » qui consiste à s’interroger, pour toutes utilisations de données, sur le respect de toutes les obligations du règlement (droit à l’oubli, droit à la rectification, droit à la portabilité des données, etc.), sur les risques qu’elles font courir aux personnes comme sur les mesures de sécurité qu’elles prévoient.
Il s’agit de s’assurer de la conformité à tout moment de sa politique au regard du règlement, de manière continue tout au long de la vie du traitement, et non à l’instant « t » de sa déclaration ou de son autorisation.
Registre des données
Cette responsabilisation va avec un accroissement considérable des sanctions qui, en France, seront prononcées par la Cnil, qui voit, par là même, son pouvoir de contrôle renforcé [selon les types de manquements, 10 millions d’euros ou 2% du chiffres d’affaires mondial ; 20 millions ou 4 % du chiffre d’affaires mondial.]
Simultanément, les entreprises doivent ouvrir de vastes chantiers parmi lesquels la « tenue d’un registre des données » afin de répertorier toutes les données à caractère personnel collectées au sein d’un registre des traitements (finalités pour lesquelles ces données sont utilisées, l’emplacement de ces données, la liste des personnes autorisées à y accéder, ainsi que les mesures garantissant leur sécurité) ; le « respect du consentement libre, éclairé et univoque » en matière de recueil des données personnelles, ce qui suppose d’informer les utilisateurs de ces nouvelles modalités et de mettre en place de nouveaux procédés pour recueillir leur consentement ; la mise en place d’ « étude d’impact » pour certains types de traitements de données, et plus particulièrement ceux présentant « un risque élevé pour les droits et libertés des personnes physiques » ou encore la mise à niveau des mesures garantissant la « sécurité des données » (pseudonymisation ou chiffrement par exemple).
Pour faire face à la complexité de la réforme, la Cnil propose les outils et la méthode pour se préparer, ainsi que les clés de compréhension pour engager une démarche de conformité au RGPD, et faire progresser l’entreprise dans sa maturité numérique.
Thierry Charles, docteur en Droit, directeur des affaires juridiques d’Allizé-Plasturgie, membre du « Cercle Montesquieu »
Dans cette rubrique
- Face, je gagne ; pile, tu perds : le bonus-malus, c’est la quadrature du cercle !
- Décret « 3R » : des objectifs, pas d’interdiction
- Contrats courts : victoire d’étape au Conseil d’État !
- REP : la loi Agec rebat les cartes
- Lutte contre les déchets plastique : le principe des vases communicants !
- >> Rubrique Droit
A la Une aujourd'hui
- « Cycl-add a réuni un écosystème unique pour recycler les masques »
Autour de sa technologie brevetée de recyclage de plastiques destinés à l’incinération, Cycl-add a mis sur pied une filière nationale pour les masques usagés. Interview de son président, Hervé Guerry, qui dirige également le bureau d’études Créastuce.
- Une action en annulation contre le marquage des gobelets à usage unique
- Sphere lance la production de tabliers écoconçus
- Motoman GP4 : le petit dernier de Yaskawa
- Recyclé : Knauf Industries étoffe sa gamme
- >> Accéder AA la Une
Envoyez " RGPD : le contrat de confiance" par e-mail :