Accueil » News » Etes-vous prêt pour l’entrée en vigueur du GDPR le 25 mai ?

Etes-vous prêt pour l’entrée en vigueur du GDPR le 25 mai ?



En mai prochain, le nouveau règlement européen sur la protection des données (GDPR - General Data Protection Regulation) voté le 27 avril 2016- entrera en vigueur et imposera de nouvelles règles aux entreprises et à leurs sous-traitants, concernant le traitement des données à caractère personnel. Le GDPR aura un impact sur les organisations établies au sein de l'Union Européenne, mais aussi en dehors de celle-ci. Il concerne donc d’une part les organisations qui traitent des données personnelles au sein de l'UE, que le traitement ait lieu ou non dans l'UE; et d’autre part les organisations en dehors de l'UE qui offrent des biens et services ou qui surveillent le comportement des personnes au sein de l'UE. L’objectif de cette législation est de créer un ensemble de règles plus cohérent entre les pays membres de l’UE.

Application et portée du GDPR
Les nouvelles règles GDPR comprennent notamment des dispositions pour promouvoir la responsabilité et la bonne gouvernance autour de la protection des données personnelles. Cela inclut la mise en œuvre de processus de gouvernance clairs sur la façon dont les données sont gérées, traitées, stockées et supprimées, ainsi que la mise en œuvre du respect de la vie privée dès la conception, dans une organisation.

Alors que les grandes entreprises commerciales européennes se préparent activement à l'arrivée du GDPR, les PME sont assez démunies face à l’application de cette nouvelle réglementation. Et pourtant, elles sont concernées. La menace financière en cas de non-conformité à ce règlement sera elle aussi bien réelle : les amendes pourraient atteindre 4% du chiffre d'affaires annuel global d'une entreprise.

Nomination d’un ‘Data Protection Officer’ ?
Une des obligations majeures du GDPR est la nomination dans l’entreprise d’un délégué à la protection des données personnelles (DPO pour « Data Protection Officer ») lorsque :
  • le traitement des données personnelles est effectué par une autorité ou un organisme public ou semi-public. Ex. les hôpitaux, les mutuelles, les syndicats, …
  • les activités de base de l’entreprise ou organismes les conduit (du fait de la nature, portée et/ou finalité de ces activités) à effectuer un suivi régulier et systématique des personnes à grande échelle. Ex. les opérateurs téléphoniques et fournisseurs d’accès internet, les banques et sociétés d’assurance, les acteurs de l’e-commerce et éditeurs digitaux ;
  • les activités de base amène à traiter à grande échelle des données sensibles ou qui ont trait à des condamnations et infractions pénales. Ex. les huissiers de justice
  • sont considérées comme des données sensibles, notamment, les données génétiques, biométriques, ou afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale.

Que signifie « suivi régulier et systématique des personnes à grande échelle » ?
Facteurs pris en considération pour déterminer si le traitement est effectué « à grande échelle » :
  • nombre de personnes concernées. Ex : le traitement des données d’un patient par un médecin particulier ou dossier relatif à des infractions pénales traité par un avocat, n’est pas visé par le GDPR.
  • volume de données et/ou le spectre des catégories de données. Ex. la gestion de la paye ou le service informatique d’une entreprise sont considérées comme des activités marginales non visées par le GDPR
  • durée ou permanence de l’activité de traitement, ainsi que son étendue géographique

Le DPO jouera le rôle d’un « chef d’orchestre » chargé d’informer et de conseiller le responsable de traitement ou le sous-traitant, mais aussi les employés. Il est donc un SPOC- Single Point of contact –en la matière : élément de coordination à la fois en interne et en externe, agissant comme le point de contact de l’autorité de contrôle et des personnes concernées, avec qui il doit coopérer.
Concrètement, il lui appartient de s’informer sur les nouvelles obligations, d’assister les décideurs sur les conséquences des traitements, d’en réaliser l’inventaire – notamment via l’analyse d’impact sur la protection des données (PIA)-, de concevoir des actions de sensibilisation et de piloter en continu la conformité. Il doit être impliqué dans toutes les problématiques liées à la protection des données à caractère personnel. Bien qu’il soit autorisé à exercer d’autres fonctions, le DPO doit être indépendant et ne pas être placé en situation de conflit d’intérêts. Il est soumis à une obligation de confidentialité. Le DPO n’est cependant pas responsable de la conformité au GDPR à la place du responsable de traitement ou du sous-traitant.

Outsourcing
Les organismes non soumis à l’obligation de désignation d’un DPO et ne souhaitant pas en nommer un, peuvent employer du personnel ou des consultants extérieurs chargés de la protection des données à caractère personnel. Une entreprise comme RICOH s’est positionnée en partie sur ce nouveau marché pour des prestations de service, par exemple avec leur service ‘data cleansing’ par lequel RICOH supprime toutes les informations résiduelles conservées sur des appareils en fin de contrat. Les données physiques et numériques sont ainsi éliminées. Chaque étape est documentée pour fournir une preuve vérifiable que les données ont bel et bien été éliminées de manière sécurisée, et ce faisant ce prestataire externe à l’entreprise soutien le processus de conformité au GDPR.

En pratique Voici les actions principales à mettre en place pour respecter la nouvelle réglementation européenne :
  • instaurer un processus de gouvernance clair en ce qui concerne les données; savoir comment elles sont gérées, traitées, stockées, conservées et supprimées.
  • maintenir à jour la documentation, telle que les manuels de protection des données et les inventaires de données personnelles.
  • effectuer des études d'impact sur la protection des données
Pour plus d’informations, adressez-vous à l’ Association Data Protection Officers,
basée à Paris. Où, en Belgique, au Data Protection Institute qui organise une formation de 2 jours introductive à la protection des données abordant:
  • la législation belge sur la protection des données personnelles et son impact sur les entreprises
  • la législation en vigueur en Europe et les récentes évolutions
  • le rôle du délégué à la protection des données (DPO).
Didier Van Den Eynde
14-02-2018