<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1678611822423757&amp;ev=PageView&amp;noscript=1">
Defrag This

| Read. Reflect. Reboot.

Le RGPD arrive, êtes-vous prêts ? (partie 2)

Stéphanie Chaptal-Dugué| March 30 2017

| security

RGPD-arrive.jpgLe 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) entrera en application. Il concernera toutes les entreprises, européennes ou non, qui traitent des données personnelles des citoyens européens. Le RGPD remplace la directive sur la protection des données en place depuis 20 ans, renforce de nombreuses clauses déjà présentes dans ladite directive, et définit des normes plus sévères pour la protection des informations personnelles des résidents de l’Union européenne. Chaque État membre pourra d’ailleurs aller plus loin en matière de protection. Dans ce domaine en France, la CNIL (Commission Nationale Informatique et Liberté) consulte les internautes régulièrement pour préciser les orientations à donner lors de la prochaine refonte de la loi Informatiques et Libertés.

Qu’est-ce que le RGPD va changer dans votre entreprise ? Un peu plus d’un an avant l’introduction définitive du texte en droit français, la situation légale n’est toujours pas figée. La loi Informatique et Liberté qui, depuis 1978, régit la façon dont les données personnelles des citoyens français doivent être administrée, est en cours de toilettage. Une version de la loi est actuellement en application et à consulter sur Legifrance ici, une autre entrera en vigueur à partir du 25 mai 2018 et le projet actuel est à consulter ici. Dans le principe, les règles essentielles pour le traitement des données personnelles ne bougeront pas. Comme le recommande déjà la CNIL, cinq principes resteront en vigueur :

la finalité des données : avant toute collecte et utilisation de données personnelles, le responsable de traitement doit précisément annoncer aux personnes concernées ce à quoi elles vont lui servir. Ces objectifs, doivent respecter les droits et libertés des individus et limitent la manière dont le responsable pourra utiliser ou réutiliser ces données dans le futur ;

la pertinence : seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées. Le responsable de traitement ne doit donc pas collecter plus de données que ce dont il a vraiment besoin. Il doit également faire attention au caractère sensible de certaines données, notamment les données biométriques qui, avec le RGPD, seront désormais explicitement reconnues comme sensibles ;

la temporalité : une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de les conserver et elles doivent être supprimées. Cette durée de conservation doit être définie au préalable par responsable du traitement, en tenant compte des éventuelles obligations à conserver certaines données ;

les droits des personnes : des données concernant des personnes peuvent être collectées à la condition essentielle qu’elles aient été informées de cette opération. Ces personnes disposent également de certains droits qu’elles peuvent exercer auprès de l’organisme qui détient ces données le concernant : un droit d’accéder à ces données, un droit de les rectifier et enfin un droit de s’opposer à leur utilisation ;

la sécurité : le responsable de traitement doit prendre toutes les mesures nécessaires pour garantir la sécurité des données qu’il a collectées, mais aussi leur confidentialité, c’est-à-dire s’assurer que seules les personnes autorisées y accèdent. Ces mesures pourront être déterminées en fonction des risques pesant sur ce fichier (sensibilité des données, objectif du traitement…).

En revanche, le RGPD va unifier le travail des différentes CNIL en instaurant une procédure de mise en cohérence des travaux des différentes CNIL. Ainsi, pour un nouvel usage des données de vos clients ou pour une nouvelle collecte de données, si vous avez déjà validé la procédure auprès d’un équivalent de la CNIL dans un autre pays européen, celle-ci devrait être automatiquement valable en France. Le cas échéant, par exemple si l’application en question touche un domaine où la loi française s’avérera plus restrictive que le règlement européen, l’EBPD, le bureau européen regroupant l’ensemble des CNIL tranchera.

Guide sur la sécurité et conformité

Topics: security

Leave a Reply

Your email address will not be published. Required fields are marked *

THIS POST WAS WRITTEN BY Stéphanie Chaptal-Dugué

Free Trials

Getting started has never been easier. Download a trial today.

Download Free Trials

Contact Us

Let us know how we can help you. Focus on what matters. 

Send us a note

Subscribe to our Blog

Let’s stay in touch! Register to receive our blog updates.