La sécurisation des données à caractère personnel – le RGPD

Le développement des activités numériques a favorisé la collecte et le traitement des données à caractère personnel tout en augmentant grâce aux TIC (Technologies de l’Information et de la Communication) les risques d’atteinte aux libertés individuelles

 I : Le cadre juridique des données à caractère personnel

Le principe est que si l’informatique doit être au service de chacun, il ne doit porter atteinte ni à l’identité humaine, ni à la vie privée, pas plus qu’aux libertés individuelles et publiques.

Déjà la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés avait réglementé la question. Ce fut la première fois qu’un Etat se dotait d’une législation spécifique en matière de protection des libertés individuelles.

En 2004, la  LCEN (Loi pour la confiance dans l’économie numérique) a renforcé l’arsenal législatif de protection des données à caractère personnel notamment sur le traitement automatisé d’adresses de messagerie électronique.

 

 Le développement des activités numériques favorise la collecte et le traitement des données à caractère personnel qui sont des informations relatives à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres (nom, voix, image, mail, numéro de téléphone, adresse, etc.).

Le danger est de perdre le contrôle des données à caractère personnel.

Diverses directives européennes renforcent également les dispositifs de protection des données à caractère personnel. Par exemple, tout traitement automatisé d’adresses mails, par la collecte, l’enregistrement et la conservation, est aujourd’hui protégé par le nouveau RGPD (Règlement Général sur la Protection des Données)

II : Le rôle des autorités de régulation

  • La CNIL

La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante française. La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi no 78-17 du 6 janvier 1978 modifiée le 6 août 2004.

La CNIL gère les déclarations, réclamations et plaintes dont elle est saisie et assure un contrôle a posteriori de la conformité à la loi des fichiers. Elle peut formuler des avertissements, des injonctions et des sanctions pécuniaires. Elle surveille la sécurité des systèmes d’information pour éviter que des données à caractère personnel soient utilisées par des personnes non autorisées.

  • Le CIL

Le CIL (Correspondant Informatique et Libertés) est facultatif dans les organisations. Il conseille et suit la conformité à la loi de la gestion des données à caractère personnel. Il fait le lien entre l’organisation et la CNIL.

Désigner un CIL permet d’identifier un référent sur les questions de protection des données personnelles et s’intègre dans les nouvelles pratiques de gouvernance en termes de mise en conformité.

Il en découle une réduction des risques de contentieux aussi bien au niveau contractuel qu’administratif.

Les collectivités territoriales, les entreprises publiques ou privées ainsi que les associations, réduisent leur exposition aux risques et optimisent leurs investissements.

Par ailleurs, Il s’agit aussi de  rassurer les personnes extérieures à l’organisme (clients, fournisseurs, etc..) ainsi que  le personnel interne sur les garanties prises pour un traitement responsable des données personnelles.

C- Les obligations du responsable du traitement des données à caractère personnel

 

Lire aussi  La responsabilité civile délictuelle et contractuelle
 

LES OBLIGATIONS

 

 

 

LES DÉMARCHES


-DÉCLARER LE FICHIER AUPRÈS DE LA CNIL avant sa mise en œuvre.

-DEMANDER UNE AUTORISATION AUPRÈS DE LA CNIL soit en raison des données enregistrées (sensibles) soit parce qu’il poursuit des finalités spécifiques (ex, recherche médicale), soit parce qu’il comporte des transferts de données hors UE.

-SE SOUMETTRE AUX CONTRÔLES ET VÉRIFICATION  sur place de la CNIL et répondre à toute demande de renseignements qu’elle formule dans le cadre de ses missions.

 

LA SÉCURITÉ DES FICHIERS


Tout responsable de traitement informatique de données personnelles DOIT ADOPTER DES MESURES DE SÉCURITÉ PHYSIQUES (sécurité des locaux), LOGISTIQUES (sécurité des systèmes d’information) et ADAPTÉES à la nature des données et aux risques présentés par le traitement.

 

LA CONFIDENTIALITÉ DES DONNÉES


Seules les personnes autorisées peuvent avoir accès aux données personnelles contenues dans un fichier. Il s’agit des DESTINATAIRES explicitement désignés pour en obtenir régulièrement communication et des TIERS AUTORISÉS ayant qualité pour les recevoir de façon ponctuelle et motivée (ex, police, FISC).

 

LA DURÉE DE CONSERVATION DES INFORMATIONS


Les données personnelles ont une DATE DE PÉREMPTION. Le responsable d’un fichier fixe une DURÉE DE CONSERVATION RAISONNABLE en fonction de l’objectif du fichier.


L’OBLIGATION D’INFORMATION.


Le responsable de traitement doit informer les personnes concernées que des données sont collectées ou cédées. 


LA FINALITÉ DES TRAITEMENTS


Un fichier doit avoir un OBJECTIF PRÉCIS. Les informations exploitées dans un fichier doivent être COHÉRENTES PAR RAPPORT À SON OBJECTIF. Les informations NE PEUVENT PAS ÊTRE RÉUTILISÉES DE MANIÈRE INCOMPATIBLE AVEC LA FINALITÉ pour laquelle elles ont été collectées.

 

 

III : L’évolution de la protection des données – Le RGPD

Le RGPD est le nouveau cadre juridique mis en place par l’Union Européenne pour gouverner la collecte et le traitement des données à caractère personnel des utilisateurs. Il est entré en vigueur le 25 mai 2018.

Il s’applique à toutes les entreprises implantées dans un pays européen qui traitent des données à caractère personnel, ainsi qu’à toutes les entités à travers le monde qui traitent des données personnelles appartenant à des résidents de l’UE.

C’est l’initiative la plus importante en matière de protection des données depuis 20 ans.

Son objectif est de protéger « les personnes physiques en ce qui concerne le traitement des données personnelles et la libre circulation de ces données », par exemple l’utilisateur d’un site web.

Toute entité qui ne se conforme pas au RGPD s’expose à de lourdes sanctions, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire.

Ce règlement remplace la directive sur la protection des données personnelles adoptée en 1995 (article 94 du règlement) ; contrairement aux directives, les règlements n’impliquent pas que les États membres adoptent une loi de transposition pour être applicables.

Principales dispositions du RGPD :

Les personnes concernées par le traitement de leurs données bénéficient aujourd’hui d’un certain nombre de protections, issues de la loi de 1978, ces obligations sont renforcées par le RGPD.

Les droits des personnes quant à l’utilisation de leurs données personnelles sont les suivants :

  • le droit d’accès aux données collectées et le droit d’information ;
  • le droit de rectification ;
  • le droit d’opposition ;
  • le droit à l’oubli (droit à l’effacement) ;
  • le droit à la limitation des traitements ;
  • le droit à la portabilité des données (droit nouveau) permettant à la personne de pouvoir récupérer ses données afin de les transmettre en l’état à un autre responsable de traitement (permettant au client de changer quand il le souhaite de prestataire).

L’une des principales nouveautés du RGPD est d’introduire un principe de responsabilité du responsable de traitement. Le responsable de traitement est l’organisation elle-même  (entreprise, administration, etc.). Elle doit  effectuer un autocontrôle interne. Cette nouvelle procédure met fin aux obligations antérieures de déclaration à la CNIL des traitements.

Le responsable de traitement peut nommer un DPO (Data protection officer  ou délégué à la protection des données) – Cette nomination est obligatoire dans certains cas notamment lorsque le traitement est effectué par une autorité publique ou un organisme public

Dorénavant, les traitements pourront être effectués sans déclaration préalable, et l’autorité de contrôle (la CNIL) pourra effectuer des contrôles à tout moment (sur pièce ou à distance). Les entreprises qui ne respecteraient pas les principes édictés serait redevables de très lourdes amendes.

Cette nouvelle disposition impose aux entreprises de mettre en œuvre un certain nombre de pratiques et de documentations, à conserver en cas de contrôle.

Il s’agit principalement de cette obligation que les entreprises doivent mettre en place, en se faisant aider par des professionnels qualifiés.

 

Lire aussi  La transformation numérique et ses impacts sur l’environnement de l’entreprise

Un commentaire sur “La sécurisation des données à caractère personnel – le RGPD

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *