Préparer l’échéance du 25 Mai 2018

Un règlement européen entend renforcer le contrôle des citoyens européens sur l’utilisation de leurs données personnelles, tout en simplifiant la réglementation pour les organisations.

Baptisé RGPD (Réglement Général sur la Protection des Données), il renouvelle profondément le cadre juridique applicable en la matière.

Consultez le site internet dédié : RGPD/GDPR

Une donnée à caractère personnel, c’est quoi ? Il s’agit de toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Le RGPD, c’est quoi ? Le Règlement Général sur la Protection des Données entend uniformiser la protection des données dans toute l’Union européenne et mettre à jour le droit européen. Le droit actuel, basé sur la directive 95/46/CE de 1995, date du début d’Internet et n’avait pas prévu l’essor des moteurs de recherche, des réseaux sociaux, des objets connectés, du cloud, du big data, etc. Le RGPD entend renforcer le contrôle des citoyens européens sur l’utilisation de leurs données personnelles, tout en simplifiant la réglementation pour les organisations. Vers de nouveaux droits pour les personnes Le RGPD renforce les droits reconnus à la personne dont les données sont collectées. Ainsi, outre le droit d’accès, le droit d’opposition, le droit de rectification, le droit au déréférencement, le droit d’accès indirect reconnus par la loi Informatique & Libertés, le RGPD introduit : - le droit à une information complète en langage clair, - le droit à l’oubli. - le  droit à la limitation du traitement et d’opposition, - le droit à la portabilité des données, …. - des conditions particulières pour le traitement des données des mineurs de moins de 16 ans…. DPO, le référent de la protection des données Qui pilotera cette mise en conformité ? Suite à l’enquête récente du SerdaLAB, dans 28% des cas, ce rôle n’a pas encore été attribué, la direction étant le principal acteur cité. Dans 27% des cas, les organisations interrogées affirment que c’est la DSI qui chapeautera le tout. 21% disent, en revanche, qu’il s’agira du CIL ou du DPO (Data Protection Officer). Ce dernier est, en effet, le garant des bonnes pratiques liées à la protection des données personnelles et, par conséquent, permettra de réduire le risque et les aléas juridiques. Pour le moment, seules 30% des organisations ont intégré ou prévu d’intégrer cette fonction.

Les étapes de la mise en conformité :

  1. Expliquer le règlement et sensibiliser les collaborateurs concernés
  2. Intégrer la fonction de DPO et le désigner comme pilote.
  3. Cartographier les données après audit des services et des entités concernés.
  4. Obtenir un avis juridique (interne ou externe)
  5. Prioriser les actions à mener selon le point 4
  6. Analyser et gérer les risques
  7. Rédiger les procédures (RGPD)
  8. Mise en œuvre
  9. Assurer la conformité sur le long terme.

Source infos SerdaLAB.

Un rétro-planning à optimiser :

  • Mettre en place un dispositif d’alerte professionnelle interne (lanceurs d’alerte) applicable au 1er janvier 2018, conforme aux règles énoncées par la CNIL mais encore désigner en amont un DPO (délégué à la protection des données, ex-CIL, né du RGPD),
  • Avant mai 2018 : initier une approche en matière de sécurité des informations non divulguées (secret des affaires) pour juin 2018

 


=> Pour en savoir plus : CNIL  – Délégué la protection des données  => Liste des hébergeurs agréés de données de santé à caractère personnel  Autres articles : Etes-vous prêt pour le GDPR ?  Quels impacts pour vos actions marketing ? (source Email Stratégie) => Testez-vous !


Lexique : CIL : Correspondant Informatique & Libertés CNIL : Commission Nationale de l’Informatique et des Libertés DPO : Data Protection Officer ou Délégué à la Protection des Données PIA : Protection Informatique des Données RGPD : Règlement Général sur la Protection des Données