Skip to main content
rgpd

Qu’est-ce que le RGPD ? Règlement général sur la protection des données

Qu’est-ce que la RGPD et qui est concerné ?

Le RGPD (ou GDPR) est le Règlement Général pour la Protection des Données (ou General Data Protection Regulation) est une nouvelle réglementation européenne qui vise à renforcer la protection des données personnelles.

Cette réglementation prendra effet le 25 mai 2018.

Qui est concerné ? Tout citoyen de l’Union Européenne est concerné, les entreprises comme les individus.

securite informatique

C’est-à-dire que les entreprises (TPE/PME, sociétés du CAC 40, banques, assurances, e-commerce, SSII, fournisseurs de services SaaS, éditeurs d’applications mobiles ou autres dispositifs connectés, …) sont dans l’obligation de mettre certains dispositifs en place afin de protéger les données qu’elles traitent.

Elles doivent se basées sur les principes de « Privacy by design » et « d ‘accountability ».

Concrètement, cela signifie que chaque entreprise doit se doter d’une politique de protection des données globale en s’assurant, dès le moment de la conception, que le nouveau service qu’elle s’apprête à lancer sur le marché et qui va lui permettre de collecter des données est bien conforme à la réglementation.

Il s’agit de responsabiliser chaque acteur en l’obligeant à s’engager dans une démarche globale visant à la protection de la vie privée. 

Jusqu’ici la CNIL ne pouvait aller au-delà d’une amende de 150 000 euros, elle pourra maintenant infliger des sanctions pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires mondial.

logo-cnil

Renforcement des droits des citoyens

Le but principal de cette réglementation est de mieux encadrer la protection des données des citoyens Européens, les règles seront les mêmes pour les 28 états de l’Union Européenne, le même texte s’appliquera donc dans toute l’UE.

Le règlement européen renforce les droits des personnes et facilite l’exercice de ceux-ci.

Avec notamment, l’obligation aux entreprises de mettre à disposition une information claire, intelligible et aisément accessible aux personnes concernées par les traitements des données.

Le consentement doit être définie, c’est-à-dire que les utilisateurs doivent être informés de l’usage de leurs données et doivent donner leur accord pour le traitement de ces données ou avoir la possibilité de s’y opposer.

Le droit à la portabilité des données, l’objectif est de redonner aux citoyens la maîtrise de leurs données. Toutes personnes doivent avoir la possibilité de récupérer leurs données dans un format facilement réutilisable.

Le traitement des données des enfants, pour la première fois, la législation européenne comporte des dispositions spécifiques pour les mineurs de moins de 16 ans. L’information sur les traitements de données les concernant doit être rédigée de manière claire et simple pour que les enfants puissent comprendre facilement. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale. 

Le principe des actions collectives, les associations exerçant pour la protection des droits et libertés des personnes en matière de protection des données auront la possibilité d’engager des recours collectifs.

Une application extra-territoriale, le règlement s’appliquera aux entreprises établies en dehors de l’Union européenne qui traitent les données relatives aux activités des organisations de l’UE. Les sociétés non-européennes seront également soumises au règlement si elles ciblent les résidents de l’UE par le profilage ou proposent des biens et services à des résidents européens.

Le droit à l’effacement, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais.

Notifications en cas de fuite de données, les entreprises et les organismes seront tenus de notifier dès que possible l’autorité nationale de protection en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées (changement de mot de passe, par exemple).

Transfert des données hors Union Européenne

Le transfert des données hors Union Européenne est possible pour les entreprises et leurs sous-traitants seulement s’ils utilisent des outils assurant un niveau suffisant de protection.

D’un autre côté, les données transférées hors Union Européenne restent soumises au droit de l‘UE pour le transfert et pour tout traitement ultérieur.

world

Comment être en règle pour une entreprise ?

Se mettre en conformité avec le RGPD suppose de définir au niveau de l’entreprise une Gouvernance de la Data intégrant la brique juridique à chaque étape de la conception et du lancement de nouveaux services impliquant des traitements de données.

Parmi les exemples de mesures nouvelles et déterminantes pour se prémunir contre d’éventuelles sanctions :

  • Désigner un Délégué à la protection des données (DPO en anglais), pilier central de ces différentes mesures
  • Renforcer son dispositif contractuel concernant les garanties de confidentialité
  • Assurer en interne la mise en place d’un Référentiel Sécurité adéquat et mis à jour (Charte Utilisateurs des SI, Politique d’habilitation, Politique de gestion des incidents etc.)

ue-rgpd

La RGPD, bonne ou mauvaise chose ?

Pour les entreprise, cela va demander un effort supplémentaire en temps et monétaire puisque comme nous l’avons vu plus haut, la première chose à faire pour les entreprises sera de désigner un DPO (data protection officer), successeur du CIL (Correspondant Informatique et Libertés), il sera obligatoire notamment dès lors que les entreprises feront des traitements à grande échelle de suivi régulier et systématique des personnes ou de données sensibles.

Le DPO sera le chef d’orchestre de la conformité. Il devra être consulté sur tout traitement de données à caractère personnel. Il aura son mot à dire en termes de sécurité informatique et de sécurité juridique.

Il contribuera à la valorisation de la donnée, et il fera en sorte que cette donnée soit traitée dans des conditions de sécurité adéquates pour éviter les risques pour les personnes et pour l’image de l’entreprise.

Ce qui demandera dans la majorité des cas de devoir recruter pour les entreprises mais également d’investir dans de la formation visant la sécurité des données.

C’est une bonne chose pour les professionnels en sécurité informatique car le poste de DPO répond à au moins 70% à ce qu’ils font tout les jours. Ils seront peut être mieux considéré par les entreprises qu’actuellement même si certaines sociétés font des efforts c’est dernier temps en terme de protection de données malgré que la sécurité informatique soit trop souvent opéré post-incident.

C’est également une bonne chose pour les citoyens car cela va leurs permettre de pouvoir avoir plus de droits en terme de protection de leur données et de leur liberté, d’ailleurs ce règlement est fait en leur faveur.

Conclusion

Le RGPD est à prendre en compte pour les entreprises car cela peut leur coûter chère, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Le règlement obligeant à notifier les failles de sécurité dans les 72 heures, la réputation de l’entreprise peut être également engagée en cas de fuite de données voire cela peut amener à la fermeture de l’entreprise pour les PME (Petites et Moyennes Entreprises).

Si vous êtes une entreprise, je vous invite à vous rapprocher de la CNIL française et aux sociétés de conseils en sécurité informatique afin d’avoir plus d’informations mais également pour pouvoir vous faire conseiller.

Joffrey Outtier

Joffrey Outtier est le fondateur de sforsecure.fr, ce blog sur la sécurité informatique a été créé pour partager mes connaissances en cybersécurité et sensibiliser les utilisateurs aux dangers du numérique. Pour le suivre sur Twitter : @JoffreyO.