Le Règlement Général de Protection des Données remplace l’actuelle Directive de 1995 et s’applique dès le 25 mai 2018. A partir de cette date :
Les entreprises doivent prouver leur effort de mise en conformité RGPD
Cartographier leurs données personnelles et leurs traitements
S’organiser (DPO, procédures, formation/sensibilisation des équipes)
Que faire concrètement ?
Tenir un registre des traitements
Les entreprises de plus de 250 employés doivent tenir un registre actualisé de tous leurs traitements de données personnelles. Consultable à tout moment par la Cnil, ce registre comporte, entre autres, le nom et les coordonnées du responsable du traitement, le type de destinataire auquel les données ont été ou seront communiqués et la finalité du traitement (démarchage commercial, analyse statistique…).
Identifier le périmètre des données sensibles
La réforme européenne préconise le cryptage ou la pseudonymisation pour les données les plus sensibles. Par données sensibles, elle va plus loin que la définition établie par la loi de 1978. Il s’agit des informations faisant référence aux origines raciales ou ethniques, à la religion, aux opinions politiques, philosophiques, syndicales, à la génétique, aux données biométriques, à la santé ou à la sexualité des personnes.
Garantir les droits des personnes
L’entreprise doit obtenir le consentement explicite des personnes concernées par le traitement et pouvoir en apporter la preuve. Pour les mineurs de moins de 16 ans, le consentement d'un parent ou d’un tuteur légal est obligatoire. Le droit à l’oubli oblige le responsable du traitement à garantir aux individus qui lui en feront la demande que leurs données seront bien supprimées dans le délai fixé. Le règlement instaure aussi un droit à la portabilité. Soit la possibilité d’obtenir les données personnelles le concernant, dans un format lisible et structuré, afin de pouvoir le transmettre à un autre acteur.
Revoir les contrats fournisseurs
Le règlement met fin à l’immunité des sous-traitants en introduisant un principe de coresponsabilité. Le responsable du traitement doit s’assurer qu’ils sont bien engagés sur la voie de la conformité en insérant des clauses contractuelles rappelant leurs nouvelles obligations. Il peut aussi introduire une clause de « rendez-vous » - fixant les réunions d’étapes d’ici à mai 2018 – une clause d’audit, voire des pénalités financières en cas de manquement aux engagements qualité (SLA).
Rédiger une charte de bonnes pratiques
Une charte annexée au règlement intérieur permet de rappeler aux collaborateurs un certain nombre de bonnes pratiques ainsi que les sanctions encourues en cas de non-respect de la loi. Entre autres, un salarié ne peut accéder ou supprimer des informations ne relevant pas de sa fonction ou enregistrer des données sur un support externe sans accord de sa hiérarchie. Il doit aussi respecter les règles de sécurité définies par le service informatique.
Définir les nouvelles missions du DPO
Appelé à remplacer le Correspondants informatique & libertés (CIL) en mai prochain, le data protection officer a des pouvoirs élargis. Alors que le CIL est le garant du respect des dispositions de la loi informatique & libertés, le DPO exerce un contrôle des règles internes de protection et vérifie leur bonne exécution. Le G29, le groupe des Cnil européennes, a précisé le profil de ce DPO et de ses missions.
Se préparer à la possibilité d’une fuite de données
L’entreprise doit mettre en place les procédures d’escalade qui seront activées en cas de violation de données personnelles en termes notamment de communication de crise et d’information. Le responsable du traitement doit notifier la Cnil si possible dans les 72 heures après en avoir pris connaissance. Il doit aussi avertir « dans les meilleurs délais » les personnes concernées quand la fuite présente un risque élevé pour leurs droits et libertés comme le vol de mots de passe ou de numéros de cartes bancaires.
Qu’est-ce qu’une donnée personnelle ?
Selon la loi Informatique et libertés : " Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. "