Le Règlement Général sur la Protection des Données (RGDP) (en anglais General Data Protection Regulation)  en place depuis le 25 mai 2018 au niveau européen est là pour garantir le bon usage de données collectées par les entreprises. Ce nouveau règlement encadre le traitement des données personnelles sur le territoire de l’Union européenne. Il s’inscrit dans la continuité de la Loi Française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Il harmonise également les règles en Europe en offrant un cadre juridique unique aux professionnels et permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs. Cette nouvelle réglementation en place depuis le 25 mai 2018 a pour objectif le renforcement des droits aux personnes, et la responsabilisation des acteurs traitant des données.

Les changements occasionnés ?

Cette réglementation a principalement pour but de renforcer les droits aux personnes sur le consentement et la transparence de la collecte des données personnelles. Cela implique notamment l’information auprès de l’utilisateur de l’usage qu’il sera fait de ses données. Cela peut se traduire en cas pratique par des bandeaux plus importants sur les sites web ou détailler ces informations dans les pages de « Politique de Protection des Données ». A cela, vient s’ajouter un nouveau droit, celui de la portabilité qui permet à une personne de récupérer les données qu’elle aurait transmises à un organisme pour « porter » ses données vers un autre organisme.

3 étapes clefs pour la mise en place de cette réglementation : 

1. Documenter sa conformité vis-à-vis du RGDP

L’une des premières choses à réaliser est un audit des données qui sont collectées par l’entreprise de façon à avoir un mapping des données personnelles. Ces données seront archivées, qualifiées et suivies dans un registre.  Le registre des traitements se présente sous forme de tableau où l’on vient qualifier chacun des traitements. Ensuite, sur les données dites sensibles,  il faut procéder à la mise en place du PIA ou analyse d’impact relative à la protection des données qui consiste à mesurer le niveau de protection des données au sein de l’entreprise et identifier les actions à mener pour mieux les protéger.

2. Informer clairement les personnes sur leurs droits

L’information auprès des utilisateurs doit se faire par la modification des pages de « Politique de Protection des Données ». Les différents cookies utilisés doivent notamment y être détaillés en termes de nom, rôle, durée de conservation…

Le recueil du consentement pour la collecte des données doit être particulièrement suivi par les organismes car c’est elle qui permet de permet l’utilisation des données personnelles collectées.

Afin que l’utilisateur puisse exercer ces droits, une nouvelle fonction doit désormais être mis en place au sein des entreprises (ou délégué auprès d’une entreprise spécialisée), celle de DPO (délégué à la protection des données ou data protection officer). Son rôle est de garantir le bon respect de la législation et il devra en répondre lors de contrôle.

3. Mettre à jour les aspects contractuels et juridiques avec les organismes tiers

Le RGPD demande notamment à préciser les rôles de chacun des organismes collectant les données. En effet, ce nouveau règlement met en avant les notions de responsable du traitant (l’entreprise) et de sous-traitant de traitement (l’ensemble des personnes habilitées par l’entreprise à retraiter la donnée). L’ensemble de cette chaîne devra se mettre en conformité vis-à-vis du règlement au risque de ne pas pouvoir contractualiser avec d’autres tiers.

 

Source : CNIL