RGPD : devenez incollable sur le nouveau règlement qui régit la protection des données

23/11/2017

À partir du 25 mai 2018, la protection des données personnelles prendra une toute nouvelle dimension avec la mise en place d’un nouveau règlement européen, le RGPD.

Signification et objectifs du RGPD
Le Règlement Général sur la Protection des Données Personnelles (RGPD) a été pensé afin d’obliger les entreprises responsables de traitement à réaliser des efforts significatifs en matière de protection de données. “L’objectif du RGPD est d’étendre les droits des citoyens européens concernant la gestion et la protection de leurs données, explique Olivier Normand, expert confiance numérique et conformité réglementaire chez Maileva.
Le citoyen/utilisateur a désormais le contrôle de ses données, c’est-à-dire qu’il peut demander qui y a accès, qui est responsable du traitement, combien de temps ses données sont conservées, etc.”

La minute définition : on appelle donnée à caractère personnel toute information qui se rapporte à une personne physique qui est identifiée ou identifiable, directement ou indirectement.
Le traitement de la donnée est quant à lui défini comme une opération effectuée à l’aide de procédés automatisés, appliquée à ces données personnelles. Cela va de la collecte à la destruction, en passant par l’enregistrement, la structuration, la modification, l’utilisation ou la transmission de ces données.

Le RGPD remplace et abroge une directive européenne qui date de 1995 ; à la différence d’une directive, qui doit être traduite dans le droit local de chaque pays (et peut donc être appliquée au bon vouloir de chacun), le nouveau règlement devra être appliqué à tous les États membres de l’Union européenne en même temps, à savoir le 25 mai prochain.
La CNIL (Commission Nationale de l’Informatique et des Libertés) a été désignée en France comme organisme de contrôle de ce nouveau règlement. Chaque responsable de traitement doit désormais lui faire part de ce qu’il compte mettre en place pour être en conformité avec le RGPD. La CNIL réalisera par la suite des audits (tous les 3 ans) pour vérifier que tout le monde tient ses engagements. De même, si un responsable de traitement se rend compte qu’il y a eu, d’une manière ou d’une autre, violation de données, il doit impérativement en informer la CNIL dans les 72 heures, sous peine de sanction.
“Le RGPD stipule que le responsable de traitement a non seulement la responsabilité des données qui lui sont confiées, mais également de ses sous-traitants, qui doivent bien-sûr se plier au règlement eux aussi. Cette co-responsabilité n’existait pas dans la directive de 1995”, détaille Olivier Normand.

Quel impact pour les entreprises ?
L’arrivée du RGPD peut sembler contraignante pour les entreprises, mais il faut plutôt la voir comme l’opportunité de mettre en place des dispositifs vertueux. Un inventaire exhaustif des traitements permettra en effet d’optimiser le traitement et la gestion des données. De plus, la CNIL aura également dans un premier temps un rôle de conseil, afin d’aider les entreprises à gagner en efficacité sur les procédés qu’elles utilisent. Celles-ci pourront d’ailleurs se voir remettre une certification RGPD (certification temporaire), gage de confiance auprès de leurs clients et utilisateurs.

D’un autre côté, les mauvais élèves pourront être sanctionnés, ce qui n’était pas le cas avec l’ancienne directive. L’Union européenne ne prend pas le RGPD à la légère : les entreprises risquent la limitation ou la suspension de l’autorisation de traitement, mais l’UE s’attaque aussi directement au portefeuille : jusqu’à 4% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’Euros pourront être ponctionnés en cas de non respect du règlement.

Dès aujourd’hui, il convient donc de prendre des mesures en conséquence : créer des solutions selon le privacy by design (penser “RGPD” dès la conception d’une solution), ou encore le privacy by default (s’assurer que la collecte et/ou la conservation des données soit vraiment nécessaire et légitime), effectuer une étude d’impact lorsque le traitement peut comporter des risques pour la personne, etc.

Gare aux entreprises qui se disent qu’elles peuvent passer entre les mailles du filet : la CNIL est autorisée à investir les locaux des responsables de traitements et de leurs sous-traitants pour réaliser des audits quand bon lui semble !

Maileva / Docapost en ordre de marche !
Au sein du Groupe La Poste, des DPO (Data Protection Officer) et des correspondants ont été nommés afin de veiller à la mise en conformité des différentes filiales. Docapost et Maileva ne font pas exception, comme l’explique Olivier Normand :
“La société Docapost, acteur de premier plan de l’économie numérique, est engagée dans la protection des données personnelles et dans le respect de la vie privée de ses clients et de ses employés, conformément à sa Charte éthique Docapost intégrant la charte Data du Groupe La Poste. La mise en conformité avec le RGPD, pour Docapost, sera effective au 25 mai 2018, date d’entrée en vigueur du règlement.

En ce moment même, nous déployons notre démarche de conformité : outre la nomination d’un DPO en relation constante avec les directions juridique, technique et de la performance du groupe, nous mettons en place des mesures de protection et d’alerte (procédures, code de conduite, etc.), poursuivons l’inventaire des traitements de données personnelles mis en oeuvre, identifions les risques éventuels associés aux traitements et les mesures nécessaires à leur prévention et maintenons une documentation assurant la traçabilité des mesures.

Nous ne sommes pas inquiets car nous adoptons depuis longtemps des pratiques vertueuses en termes de gestion et de protection de données de nos clients. Nous faisions du RGPD sans le savoir, c’est dans l’ADN du Groupe et un élément essentiel de la Confiance numérique. Mais nous continuons rigoureusement nos investigations sur nos procédures pour être sûrs d’être à 100% conformes en mai prochain. En confiant vos données à Maileva, responsable du traitement de vos flux, vous êtes assuré qu’elles seront traitées avec rigueur, en toute sécurité et conformément à la réglementation.”