La réglementation GDPR – Protection des Données Personnelles

1. Généralités

Le règlement GDPR¹ 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données sera en vigueur à compter de mai 2018.

Les organisations, pour s’y conformer, doivent donc d’ici cette date penser leur stratégie de gestion et de protection des données personnelles et mettre en place des règles de fonctionnement et de gouvernance requises, quels que soient leur taille et chiffre d’affaires sous peine d’amendes lourdes (4% du CA).

2. Quelles organisations sont concernées ?

Tout détenteur ou gestionnaire de données à caractère personnel des personnes physiques indépendamment de leur nationalité ou de leur lieu de résidence, que le traitement ait lieu ou pas dans l’Union Européenne, lorsque le traitement est lié au suivi du comportement des personnes au sein de l’Union.

3. Quelles données sont concernées ?

La protection des données s’applique à toute information concernant une personne physique identifiée ou identifiable, même en cas de pseudonymisation, si le recours à des informations supplémentaires (adresse IP, identifiant en ligne…) permettrait son identification.

4. Quels traitements sont concernés ?

La GDPR concerne tous les traitements dès lors que les données sont structurées selon des critères déterminés quelque soit le support ou le procédé de traitement, automatique ou manuel. Par exemple est concerné un fichier « papier » contenant des identifiants (nom, numéro de sécurité sociale) et des informations relatives à des achats, des domaines d’intérêt, une situation de santé…).

5. Quels principes de traitement sont applicables ?

– Le consentement clair et positif par lequel une personne donne son accord au traitement des données à caractère personnel la concernant. Lequel doit pouvoir être prouvé.

– La licéité du traitement reposant sur plusieurs fondements :
>le consentement,
>la nécessité du traitement dans le cadre d’un contrat ou de l’intention de conclure un contrat,
>l’exercice d’un droit,
>la préservation d’intérêts légitimes des responsables de traitement, par exemple l’utilisation de données à des fins administratives internes ou des données servant à garantir la sécurité informatique.

–  La loyauté et la transparence du traitement, ce qui exige une information sincère sur l’identité du responsable du traitement, les finalités du traitement et le droit des personnes à la confirmation et à la communication des données. Ces informations devant être aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples.

– L’adéquation, la pertinence et la limitation des données aux finalités du traitement, y compris la limitation de la durée de conservation.

– La sécurité, la préservation et la confidentialité des données, la correction des données erronées et la protection contre les accès et utilisations inappropriées.

– L’analyse d’impact par le responsable d’un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

6. Quels sont les droits des personnes
   

– Le droit d’accès aux données à caractère personnel, d’en demander la rectification ou l’effacement (droit à l’oubli) et d’obtenir des réponses dans des délais appropriés, maximum 1 mois, motivées par le responsable du traitement en cas de refus de donner suite.

–  Le droit de ne pas faire l’objet d’une décision prise sur le seul fondement d’un traitement automatisé et qui produit des effets juridiques la concernant ou qui, de façon similaire, l’affecte de manière significative, tel que le rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine.

7. Quelles sont les obligations vis-à-vis des sous-traitants des traitements ?

Le responsable du traitement doit s’assurer que ses sous-traitants présentent des garanties suffisantes pour satisfaire aux exigences du règlement, y compris en matière de sécurité du traitement. La réalisation d’un traitement doit être régie par un contrat définissant l’objet et la durée du traitement, la nature et les finalités du traitement, le type de données à caractère personnel et les catégories de personnes concernées, en tenant compte des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée.

8. Quels sont les risques en cas de violation des données personnelles ?

– Perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits,
– Discrimination,
– Vol ou usurpation d’identité,
– Perte financière,
– Atteinte à la réputation,
– Tout autre dommage économique ou social important.

9. Qui contrôle au niveau national ?

Une autorité de contrôle doit être désignée par chaque état.
Cette autorité sera consultée en cas de danger issu de l’analyse d’impact.
Elle est informée et contrôle le traitement des violations.
Elle établit la liste des types d’opérations de traitement pour lesquels une étude d’impact est requise.

10. Que faire en cas de violation de données ?

En cas de violation grave de données à caractère personnel le responsable du traitement doit :
– notifier la violation à l’autorité de contrôle dans un délai de 72 heures,
– communiquer la violation à la personne physique concernée dans les meilleurs délais afin qu’elle puisse prendre les précautions qui s’imposent,
– formuler des recommandations à la personne physique concernée pour atténuer les effets négatifs potentiels.

11. Quelles sont les actions concrètes à réaliser pour la mise en place de la GDPR ?

– Désigner un DPO (Data Protection Officer), délégué à la protection des données et définir ses responsabilités et son autorité dans le cadre de la GDPR,
– Identifier les responsables de traitements et décrire leurs responsabilités au regard du décret,
– Établir la liste des fichiers automatisés ou manuels de données personnelles et décrire leur finalité,
– Vérifier la licéité et la légitimité des traitements et l’adéquation des données,
– Pour chaque fichier documenter le registre des traitements (entreprises de plus de 250 salariés), les responsable de leur traitement et les sous-traitants éventuellement concernés,
– Mettre en place les dispositions pour le recueil de consentement, sa limitation, sa révision et son retrait,
– Mettre en place les dispositions pour la communication des données traitées aux personnes qui en font la demande,
– Planifier les dispositions du Système GDPR pour la gestion des demandes des personnes droit d’accès, rectification, opposition, droit à l’oubli, contrôles de violation, information de l’autorité de contrôle, notification des violations, traitement des incidents…
– Assurer la sécurité des informations (préservation des données, sécurité des réseaux et traitement, anti-copiage…), la limitation de traitement (marquage, effacement ou pseudonymisation…)
– Assurer la maîtrise des sous-traitants concernés tout au long du cycle de gestion et de traitement des données,
– Mettre en place un procédé d’évaluation objective des risques liés au traitement des données, notamment lors de l’étude d’impact, en conception des bases de données et des systèmes de traitement.

¹ : General Data Protection Regulation

Copyright : INFOQUALITE

Partager cet article