Règlement européen sur la protection des données : soyez prêt !
Les disposition du règlement européen sur la protection des données vont supprimer les procédures de demande d’autorisation et de déclaration jusqu’ici mise en œuvre en matière de collecte de donnée. L’esprit de ce texte est non seulement d’alléger les formalités en la matière, mais surtout de responsabiliser les acteurs du numérique en leur faisant jouer un rôle proactif dans la collecte et la sécurisation des données. Cette notion a un nom « l’accountability ». Concrètement, comment cela va-t-il se traduire ? Vous allez devoir penser « protection of personnal data » dès la mise en œuvre de votre projet, et à toutes les étapes de sa conception et de son essor en mettant en place des outils permettant la gestion, l’organisation, la traçabilité et la protection de ces données ; en désignant des personnes compétentes chargées de la mise en œuvre des réglementation en matière de données personnelles. Le but du règlement est de responsabiliser les acteurs du numérique afin qu'ils ne se contentent pas de faire une déclaration et de se sentir "protégés" une fois cette déclaration effectuée. Les 6 étapes de la CNIL Afin d’appréhender l’entrée en vigueur du règlement, la CNIL a prévu un programme en 6 étapes permettant aux entreprises de se préparer à leurs futures obligations. 1. Désigner un pilote Le règlement prévoit la nomination obligatoire d’un délégué à la protection des données dans chaque organisme public, pour les entreprises employant 250 personnes ou plus et pour les entreprises « dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions. » Pour les autres, il vous faudra nommer une personne « relaie » qui aura pour mission de s’assurer de la protection des données et de la mise en œuvre des législations en la matière, d’être le principal interlocuteur auprès des tiers sur ces questions, qui devra œuvrer à la et mener des actions en interne afin de sensibiliser, répertorier et mettre en place des process concernant les données. 2. Cartographier Il vous faudra tenir un registre exhaustif de toutes les données que vous collectez, qui soit mis à jour, et correctement organisé : par date d’entrée, par catégorie (données sensibles ou non), par objectif (pourquoi la donnée est collectée). Chaque donnée doit indiquer sa provenance (rachat de donnée, collecte directe…) Comme le rappelle la CNIL, chaque donnée doit pouvoir répondre à ces questions : qui, quoi, où, pourquoi, comment et quand ? A savoir : qui est responsable de cette donnée, à quelle catégorie appartient-elle, quelle est sa finalité, où est-elle hébergée, quelle est sa durée de conservation et comment est-elle protégée. 3. Prioriser La CNIL recommande de procéder à un audit actuel de vos données à caractère personnelle afin de vérifier quelles sont déjà conforme à la législation actuelle, et tout particulièrement à la loi informatique et liberté. Si ce travail de mise en conformité est réalisé, l’adoption du règlement en sera d’autant plus aisée. 4. Gérer les risques Avant la mise en œuvre d’un traitement de donnée, vous devez réaliser une étude d’impact permettant d’anticiper les risques auxquelles s’exposent les personnes figurant dans votre traitement. L’étude doit notamment préciser si la collecte des données est strictement nécessaire au regard de la finalité du traitement, les risques envisagées, et enfin les mesures prises afin de réduire au mieux ces risques. Les procédures afin de protéger les données sont multiples : rendre anonyme toutes les données qui peuvent l’être, sauvegarder les données sur des supports multiples, se protéger contre la cybercriminalité, mettre en place des procédures d’échange et transmission des données afin d’assurer leur sécurité etc… 5. Organiser Nous l’avons déjà dit, des procédures de gestion interne devront être mis en place concernant la gestion des données à caractère personnelles. Ces procédures pourront porter sur les réponses à apporter en cas de demandes formulées par une personne faisant l’objet d’un traitement de ses données (avec la mise en place de formulaires pour qu’elle puisse facilement faire valoir ses droits), sur la mise en place de procédure d’urgence en cas d’atteinte aux données…. Et devront être portées à la connaissance de vos employés, qui devront être sensibilisés à ces questions. 6. Documenter Afin de prouver que votre entreprise collecte en toute légalité ces données, vous devrez tenir un registre, et documenter l’ensemble de vos actions ayant trait à la gestion et à la protection des données. Toutes ces informations doivent pouvoir être transmises à la CNIL, chargée de vérifier vos actions, mais également aux personnes faisant l’objet d’un traitement de donnée. Pour plus d'information sur le sujet, contactez nous !
