Le RGPD : Un renforcement des obligations pour les entreprises

5 septembre 2017/Emilie Ravet

Applicable à compter du 25 mai 2018, le nouveau Règlement européen sur la protection des données personnelles va imposer aux entreprises, un renforcement de leur niveau de sécurité.

RGPD : le Règlement Général sur la Protection des Données

Plus connu sous ses initiales françaises ou anglaises (GDPR : General Data Protection Regulation), ce règlement européen n° 2016/679 entrera en application en mai 2018. Il reste moins d’un an aux entreprises pour être en conformité avec ce texte validé le 27 avril 2016.

Le RGPD peut être perçu comme une version plus contraignante et répressive de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. « La loi de 78 et en particulier son article 34 sur la confidentialité des données, obligeait déjà les entreprises à prendre toutes précautions utiles. Le concept de "privacy by design", érigé par l’article 25 du RGPD impose aux entreprises de réfléchir à la protection des données personnelles en amont de la conception d’un produit ou d’un service », précise Maitre Olivier Iteanu.

Cet avocat à la Cour d’appel de Paris, et l’un des pionniers du droit de l’Internet en France, rappelle également que le GPDR apporte trois évolutions majeures. « Il y a une augmentation conséquente des sanctions, qui peuvent atteindre jusqu'à 4 % du chiffre d’affaires mondial contre 150 000 € maximum avec la Loi de 1978. Deuxièmement, il institutionnalise le juridique, la technique et l’organisationnel. La conformité à la loi passe dorénavant par des actions précises selon les règles de l’art. Il faut avoir réfléchi en amont et avoir mis en place des actions pertinentes. Enfin, il y a l’obligation des notifications des fuites de données sous 72 h à la CNIL, mais aussi aux personnes concernées. Jusqu’à présent, cette obligation (réduite à 48 h) ne concernait que les Organismes d’Importance Vitale (OIV) ».

Le GDPR s’appliquera donc à toutes les organisations, y compris les PME. Mais, il y aura toujours une marge de sanctions. « On tiendra compte du fait que les PME ne sont pas en situation de disposer de moyens et de ressources leur permettant d’avoir le même niveau de sécurité que des grands comptes. Les entreprises de plus de 250 salariés devront néanmoins tenir un registre de traitement des données. Ce sera une obligation », précise l’avocat.

Quelles obligations pour être en conformité ?

Dès lors, comment être en conformité ? Pour le savoir, il faut commencer par connaître les principales obligations. Mais qu’est-ce qu’une donnée à caractère personnel ? L’acception par Bruxelles est très large. Il s’agit en effet de toute information relative à une personne physique identifiée ou identifiable. Un nom, un numéro de téléphone, un numéro de Sécurité sociale, une photo… Or, tout le monde en manipule en permanence : établissement d’un devis pour un particulier, gestion RH et paie avec les bulletins de salaire et les contrats de travail… Car ce GPDR s’applique aux données personnelles des clients, à celles récoltées par des capteurs ou sur le web, mais aussi à celles des collaborateurs !

Cette conformité repose sur différentes obligations parmi lesquelles :

  • Minimiser les données personnelles collectées

L’article 5 du règlement européen précise qu’elles doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données). »

  • S’assurer du fondement juridique du traitement

Les entreprises doivent vérifier que les personnes donnent leur consentement à leur traitement. Typiquement, c’est un rappel de l’article 7 de la Loi de 78.

  • Respecter le droit à la portabilité des données

Tout responsable du traitement (l’entreprise, mais aussi ses différents sous-traitants et notamment les hébergeurs) de ce type de données doit mettre en place des moyens permettant aux personnes concernées de les récupérer dans un format structuré et exploitable.

  • Mettre en place un registre de conformité

À partir de mai 2018, les entreprises devront tracer l’ensemble des traitements de données personnelles mis en œuvre afin de s’assurer qu’ils sont en conformité avec la loi. Cette obligation passera notamment par la désignation d’un DPO (data privacy officer).

  • Renforcer la sécurité informatique

Implicitement, ce règlement impose de mettre en place une politique de sécurité globale. L’objectif prioritaire est d’assurer la confidentialité, l’anonymisation, l’intégrité et la disponibilité de ce type d’information sensible.

Pour les entreprises, il s’agit de contraintes fortes. Mais le RGPD doit être l’occasion d’établir une cartographie précise des lieux de stockage de ce type d’informations et de s’appuyer sur des solutions mieux adaptées. Il s’agit notamment du Cloud. La protection des données étant une problématique complexe, « de nombreuses entreprises choisissent d’externaliser certains services ou de les migrer dans le Cloud », déclare Philippe Trouchaud, Associé responsable du département de cybersécurité de PwC.

Mais attention, déléguer la protection de ce type d’informations à un fournisseur dans le Cloud n’exonère pas les entreprises de mettre en place des outils de sécurité visant à contrôler, au niveau local, les accès à ces dossiers sensibles. En droit, elles en sont propriétaires. Même si elles les confient à des prestataires, c’est leur responsabilité qui sera en jeu.

New Call-to-action

Emilie Ravet
À propos de Emilie Ravet : Emilie est responsable Marketing en charge de la publication des articles du blog.

À lire ensuite

cdm

Cloud data management : pour une gestion optimisée de toutes ses données

Les environnements de cloud hybride offrent de nombreux avantages aux entreprises. Mais la migration vers le...

accountant-accounting-adviser-advisor-159804

Dépenses Multicloud : 3 conseils pour réduire les coûts

Les entreprises dépensent beaucoup d'argent dans le cloud. Mais ce poste est-il bien géré ? Différentes études...

blur-coffee-connection-2041383

API : entre opportunités et insécurité

De plus en plus d’entreprises s’appuient sur des API publiques, partenaires ou privées. Objectif : gagner en...