Bonjour, comment pouvons-nous vous aider ?

La gouvernance des données personnelles

Gros plan sur le raisin dans les vignes

Faire face aux nouvelles obligations en matière de traitement des données personnelles

Le nouveau Règlement européen sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai 2018, et viendra renforcer les dispositions de la Loi Informatique et Libertés du 6 janvier 1978 et la Loi pour une République numérique promulguée le 8 octobre 2016.

Ce texte européen, d’application directe pour chaque Etat de l’Union, impose des obligations aux entreprises en matière de gouvernance et de protection des données à caractère personnel, reconnue comme un véritable droit fondamental :

Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. (Article 2 du RGPD).

Les entreprises doivent donc se conformer dans les délais à cette réglementation en mettant en place une véritable politique de gouvernance de leurs données personnelles, sous peine de s’exposer à de sévères sanctions administratives, dont le montant pourra atteindre 20 millions d'euros ou 4 % du chiffre d’affaires annuel mondial.

Il est aujourd’hui impératif pour les sociétés de se préparer en organisant le traitement de leurs données personnelles et en mettant en place un plan d’action.

Toutes entreprises, institutions, organes et organismes de l'Union européenne amenés à traiter des données à caractère personnel, automatisé ou non automatisé, entrent dans le champs d’application de ces nouvelles dispositions.

Les données concernent toute opération liée au traitement d’une information se rapportant à un personne physique (âge, sexe, nom, numéro de sécurité sociale, etc…).

Les données concernent toute opération liée au traitement d’une information se rapportant à un personne physique (âge, sexe, nom, numéro de sécurité sociale, etc…).

Prioritairement, les sociétés devront désigner un responsable des données personnelles qui sera en charge de piloter leur conformité. Ce « DPO » (anciennement CIL) pourra être désigné en interne, sous certaines conditions, ou externalisé auprès d’un cabinet professionnel.

Il sera un véritable relais entre l’entreprise et les organes de contrôle, aura un rôle central dans l’entreprise et pour principales missions de :

- Recenser toutes les données personnelles

Les entreprises devront tenir un registre qui détaillera les différents traitements et leur gestion : qui est responsable du traitement, s’agit-il de données sensibles, le lieu d’hébergement des données, le temps de conservation, leur finalité …

Cet inventaire devra impérativement être tenu à jour et mis à disposition des organes de contrôle. Cette cartographie des données permettra également de vérifier la conformité de leur gestion aux obligations imposées et le cas échéant, de gérer les données à risques.

Les données personnelles peuvent recouvrir un nombre importants de données, qui va de la gestion d’un fichier client, au badge de restauration jusqu’au fichier des véhicules de fonction (seules celles gérées par le CE des entreprises semblent être exclues du champs).

- Prendre les mesures nécessaires pour se conformer

Le pilote désigné devra mettre en place les mesures nécessaires pour gérer la gestion des données à risque, c’est à dire qui ne sont pas conformes aux obligations imposées par les textes.

Dans cette hypothèse, et si un risque élevé est identifié, il conviendra de mener une étude d’impact approfondie (PIA) afin d’évaluer le risque pris et de déterminer les mesures ou process à mettre en place en interne pour traiter ces risques (éléments à protéger, impacts potentiels, consentement renforcé, supports…).

- Assurer le suivi de la conformité des données

La dernière phase pour le pilote désigné est d’organiser le suivi, la sensibilisation, et le maintien de cette conformité sur le long terme.

Ainsi, au delà de sa mission de mise en conformité, il devra intégrer une véritable mission de sensibilisation en interne, de remonter d’information, de traitement des réclamations et des demandes, et d’anticiper les violations de données (qui s’imposent aussi aux sous-traitant de l’entreprise).

Les dispositions de ce règlement sont contraignantes pour les entreprises qui doivent repenser leur système (ou son absence) de gouvernance interne des données, ce qui explique le délai de mise en conformité de deux ans qui leur est laissé pour s’y conformer (28 mai 2018). En tout état de cause, il convient de se préparer dès aujourd’hui vu que ces obligations s’imposent aux entreprises mais également aux sous-traitants, et prendre des mesures telles que l’information des sous-traitant pour s’assurer de leur conformité, un mailing de mention aux clients ou encore un retro-planning des process à mettre en place.


Pour plus de détails : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

Partagez l'article

Ecrire un commentaire