LE RGPD ET LES ENTREPRISES FACE AUX DÉFIS DE LA CYBER SÉCURITÉ

Résultant d’un processus entamé six ans auparavant, le Règlement européen sur la protection des données personnelles voté l’année dernière ou RGPD, remplacera l’actuelle directive 95/46/CE le 25 mai prochain.

L’harmonisation des 28 législations existantes va conduire à la disparition de (trop?) nombreuses formalités auprès de la CNIL et d’un renforcement de la responsabilité des organismes. En plus d’éviter que des entreprises ne profitent de failles locales pour échapper aux règles de l’UE d’un pays à l’autre, le règlement impose d’assurer une protection optimale des données. Toutes les entreprises, de la multinationale à la simple PME, devront respecter de nouvelles règles juridiques afférentes à la collecte, le traitement, la conservation et la sécurisation des données personnelles recueillies. Il s’agit ici d’être en mesure de prouver à n’importe quel moment, que les données à caractère personnel sont protégées et impossibles à utiliser en cas de vol. La simple déclaration CNIL ne suffit plus, ce nouveau règlement européen met l’entreprise face aux défis de la cyber sécurité.

Des droits renforcés

Le RGPD, à travers ce défis, renforce plusieurs droits garantis par la loi informatique et libertés de 1978, et particulièrement le droit à l’oubli. Ainsi, l’internaute trouve la possibilité de se faire déréférencer et de ne plus apparaître lors d’une recherche de contenus lui portant préjudice. Cette action reste à la charge de l’entreprise qui doit se conformer à  la sollicitation dans les meilleurs délais.

Le droit à la portabilité permet aux internautes de récupérer l’ensemble des données fournies à un service, afin de les exporter vers un autre opérateur, dans le cadre d’un changement d’opérateur téléphonique par exemple.

Des recours et des amendes dissuasifs

Les entreprises contrevenantes pourront se voir infliger par les autorités des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% de le chiffre d’affaires annuel. Les autorités auront de plus accès à un panel de mesures pour inciter les entreprises à respecter les nouvelles réglementations.

Comment se préparer au mieux au règlement

La CNIL propose aux entreprises une démarche en six étapes pour se préparer au mieux à l’entrée en vigueur du règlement le 25 mai 2018.

Etape 1 : Désigner un pilote

Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant le 25 mai, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.

Etape 2 : Cartographier vos traitements de données personnelles

Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permettra de faire le point.

Etape 3 : Prioriser les actions à mener

Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes.

Etape 4 : Gérer les risques 

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).

Etape 5 : Organiser les processus internes

Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).

Etape 6 : Documenter les conformités

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

La CNIL met de plus à disposition les lignes directrices du G29 qui clarifient et illustrent d’exemples concrets le nouveau cadre juridique issu du RGPD, pour vous accompagner au mieux dans votre transition.

A huit jours de son entrée en vigueur nous pouvons cependant nous demander si le RGPD sera prêt pour le 25 mai, 17 des 24 régulateurs européens des données personnelles ayant récemment indiqué ne pas avoir les moyens financiers et législatifs pour son application dès le premier jour.