RGPD, Gestion des données personnelles, qu’est-ce qui va changer ?

  • Posted by nathalie audrain
  • On 12 septembre 2017

RGPD, un nouveau paradigme pour la gestion des données

à caractère personnel dans l'Union Européenne

Il reste à peine 9 mois aux entreprises françaises pour se mettre en conformité avec le nouveau règlement communautaire relatif à la protection des données individuelles (RGPD). Ces nouvelles dispositions, applicables à partir du 25 mai vont plus loin que ce que la CNIL nous imposait jusqu’à présent.

La gouvernance et les pratiques de toutes les entreprises sont impactées par cette règlementation dont l’objectif est d’harmoniser les législations européennes et de renforcer la protection des données individuelles.

Si vous ne voulez ne pas faire partie des 50 % d’entreprises qui ne seront pas pleinement conformes fin 2018 comme le prévoit une récente enquête du Gartner, il est grand temps d’engager les travaux.

Mise en place d'une protection des données individuelles

Un Délégué à la protection des données (DPD) ou Data Protection Officer (DPO) contrôlera la conformité de tout ce qui touche à la gestion des données à caractère personnel : conception d’outils, traitements informatisés, etc.

Les points clés sur lesquels les Directions des Ressources Humaines

vont devoir travailler et s'adapter :

Assurer la protection des données dès la conception (privacy by design) et leur sécurité en permanence (privacy by default). Ce principe de base va devoir être en permanence au cœur de la vie et de la gestion des données personnelles. Qu’il s’agisse des phases amont d’analyse en vue de la conception et de la mise en œuvre d’un outil informatique ou des évolutions tout au long de sa vie, vous devrez, à chaque étape, décrire précisément les conditions de stockage et de traitement des données. Attention, plus question, par exemple, de prévoir un stockage massif dans un entrepôt de données maison sans définir précisément en amont tous les traitements possibles et leurs finalités.

Un registre actualisé des traitements sera obligatoire. Quand on connaît la quantité de traitements effectués, les multiples redondances de données ou le nombre de formulaires sensibles dans une entreprise, il est aisé d’imaginer l’étendue de la tâche.  Un délégué « à la protection des données » (DPO) aura la lourde responsabilité de coordonner la mise en place de cette nouvelle gouvernance.

S’assurer d’un accord explicite et formel de tous, salariés comme clients pour saisir, stocker et détenir des données individuelles. L’entreprise devra pouvoir fournir la preuve du consentement à utiliser ces données.

Portabilité des données personnelles

Le responsable de traitement aura l’obligation de mettre en place les conditions de portabilité des données individuelles. Chaque utilisateur devra disposer de la faculté d’exporter ses propres données sous un format standard couramment utilisé et lisible.

Les intéressés devront être informés

des données personnelles gérées

…et connaître les modalités de retrait de ces dernières. En cas d’exercice de ce droit à l’oubli et à la simple rectification, les entreprises disposeront d’un délai limité pour les retirer ou les modifier dans tous les systèmes. Les intéressés pourront exiger une traçabilité et la preuve des opérations relatives à ces suppressions. Le législateur, pour éviter toute dérive, a cependant indiqué que cette demande se devait d’être « légitime ».

Un autre point clé du règlement Européen RGPD concerne la sécurisation des données. Les entreprises auront l’obligation de veiller à la sécurité des données ainsi que de formaliser toutes les protections mises en œuvre. Les données pourront être cryptées ou chiffrées dans les fichiers et être stockées au sein de de datacenters sécurisés. Les DSI veilleront à ce que les données soit plutôt stockées au sein de l’UE et administrées par des sous-traitants garantissant le respect de toutes ces obligations.

A noter que les régulateurs auront la faculté d’infliger des sanctions financières très dissuasives en cas de non-respect des exigences édictées dans ce nouveau règlement Européen.

Au final, un chantier de grande ampleur pour toutes les entreprises, qui vont devoir s’appuyer sur des partenaires et des fournisseurs qui auront les capacités de leur apporter l’expertise et les conseils appropriés.

Bernard GAUVIGNON

Associé Fondateur

 2

0 Comments