Anticiper l’échéance du 25 Mai 2018

Un règlement européen entend renforcer le contrôle des citoyens européens sur l’utilisation de leurs données personnelles, tout en simplifiant la réglementation pour les organisations.

Baptisé RGPD (Réglement Général sur la Protection des Données), il renouvelle profondément le cadre juridique applicable en la matière.

Une donnée à caractère personnel, c’est quoi ?

Il s’agit de toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Le RGPD, c’est quoi ?

Le Règlement Général sur la Protection des Données entend uniformiser la protection des données dans toute l’Union européenne et mettre à jour le droit européen.

Le droit actuel, basé sur la directive 95/46/CE de 1995, date du début d’Internet et n’avait pas prévu l’essor des moteurs de recherche, des réseaux sociaux, des objets connectés, du cloud, du big data, etc. Le RGPD entend renforcer le contrôle des citoyens européens sur l’utilisation de leurs données personnelles, tout en simplifiant la réglementation pour les organisations.

Vers de nouveaux droits pour les personnes

Le RGPD renforce les droits reconnus à la personne dont les données sont collectées. Ainsi, outre le droit d’accès, le droit d’opposition, le droit de rectification, le droit au déréférencement, le droit d’accès indirect reconnus par la loi Informatique & Libertés, le RGPD introduit :

- le droit à une information complète en langage clair,
- le droit à l’oubli.
- le  droit à la limitation du traitement et d’opposition,
- le droit à la portabilité des données, ….

- des conditions particulières pour le traitement des données des mineurs de moins de 16 ans….

DPO, le référent de la protection des données

Qui pilotera cette mise en conformité ?

Suite à l’enquête récente du SerdaLAB, dans 28% des cas, ce rôle n’a pas encore été attribué, la direction étant le principal acteur cité. Dans 27% des cas, les organisations interrogées affirment que c’est la DSI qui chapeautera le tout. 21% disent, en revanche, qu’il s’agira du CIL ou du DPO (Data Protection Officer). Ce dernier est, en effet, le garant des bonnes pratiques liées à la protection des données personnelles et, par conséquent, permettra de réduire le risque et les aléas juridiques. Pour le moment, seules 30% des organisations ont intégré ou prévu d’intégrer cette fonction.

Les étapes de la mise en conformité :

  1. Expliquer le règlement et sensibiliser les collaborateurs concernés
  2. Intégrer la fonction de DPO et le désigner comme pilote.
  3. Cartographier les données après audit des services et des entités concernés.
  4. Obtenir un avis juridique (interne ou externe)
  5. Prioriser les actions à mener selon le point 4
  6. Analyser et gérer les risques
  7. Rédiger les procédures (RGPD)
  8. Mise en œuvre
  9. Assurer la conformité sur le long terme.

Source infos SerdaLAB.


=> Pour en savoir plus : CNIL  – Délégué la protection des données 

=> Liste des hébergeurs agréés de données de santé à caractère personnel 

Autres articles : Etes-vous prêt pour le GDPR ? 

=> Testez-vous !


 

Lexique :

CIL : Correspondant Informatique & Libertés

CNIL : Commission Nationale de l’Informatique et des Libertés

DPO : Data Protection Officer ou Délégué à la Protection des Données

PIA : Protection Informatique des Données

RGPD : Règlement Général sur la Protection des Données