Article réservé aux abonnés Archimag.com

Données personnelles : le règlement européen trop méconnu

  • foule_rue.jpg

    rue-foule
    À un an de l’entrée en vigueur du RGPD, seuls 20 % des organisations ont enclenché une démarche de mise en conformité et affirment qu’elles seront prêtes à l’heure dite. ( https://www.facebook.com/robertotaddeofoto28 via VisualHunt.com / CC BY)
  • 55 % des organisations ne savent pas que le RGPD (Règlement général sur la protection des données) entrera en vigueur en mai 2018 et qu’elles devront s’y conformer. C’est ce que révèle une enquête SerdaLab réalisée en février 2017 dans le cadre d'un livre blanc pour la société Arondor (1). Les autres résultats de cette enquête confirment que le sujet reste nébuleux et que la mise en conformité s'annonce plus lente et compliquée que prévu.

    Petit rappel. Le 25 mai 2018, un règlement européen entrera en application ; il prévoit de renforcer le contrôle des citoyens européens sur l’utilisation de leurs données personnelles, tout en simplifiant la réglementation pour les organisations. Baptisé RGPD (Règlement général sur la protection des données), il renouvelle profondément le cadre juridique applicable en la matière. Mais visiblement bon nombre d’organisations n’y sont pas préparées. Seuls 24 % d’entre elles mesurent complètement l’impact que le RGPD aura sur leur fonctionnement, alors que 43 % n’en ont aucune idée et que 33 % ont simplement effleuré le sujet. Plusieurs raisons à cela : le manque d’information sur le sujet (29 %), le manque de temps et l’absence de ressources (26 %), le manque de compétences en interne (12,5 %), la complexité de mise en place (10 %), le manque de moyens techniques en interne (9 %) et la non-compréhension du sujet (8 %).

    De nouvelles obligations pour les organisations

    Si le RGPD renforce les droits reconnus à la personne dont les données sont collectées, il vise aussi à responsabiliser davantage les organisations. Alors que la directive 95/46/CE de 1995 reposait en grande partie sur des formalités préalables (déclaration, autorisations), le RGPD s’appuie, en effet sur une logique de conformité. Les principales évolutions sont les suivantes :

    • les organisations seront davantage responsabilisées au travers du principe d’accountability, imposant de se mettre en conformité et de pouvoir le démontrer ;
    • selon les enjeux des projets, et notamment la nature et la sensibilité des données traitées, il conviendra de consulter préalablement l’autorité de protection des données (la Cnil, en France) et de mener une analyse d’impact relative à la protection des données. Cela concerne notamment les traitements de données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi les données génétiques et biométriques) ;
    • des mécanismes visant à garantir la protection des données par défaut ou dès la conception (notions de « privacy by design » et de « privacy by default ») devront être mis en œuvre. Les données personnelles devront être traitées de manière à garantir une sécurité et une confidentialité appropriées ;
    • la création et la tenue d’un registre des traitements mis en œuvre deviennent obligatoires. Il doit être conservé non seulement par le responsable du traitement, mais également par ses éventuels sous-traitants. Ce registre doit pouvoir être mis à tout moment à disposition des autorités de contrôle ;
    • un délégué à la protection des données (DPO) doit être désigné dans certains cas ;
    • les violations de données à caractère personnel (intrusion dans le SI, vol du fichier client en interne, vol du matériel informatique, etc.) devront être notifiées dans les 72 heures à l’autorité de protection des données et aux personnes concernées si cette violation est susceptible d'engendrer un risque élevé pour ses droits et libertés.

    La peur de la sanction fait bouger les lignes

    Le RGPD détermine également les amendes qui pourront être délivrées par les autorités nationales de contrôle, en cas d’infraction. Des amendes qui s’avèrent d’ailleurs extrêmement lourdes, puisqu’elles peuvent atteindre, selon la catégorie de l’infraction, jusqu’à 20 millions d’euros ....

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !

    archimag-303
    Les données ouvertes sont un fait. Des données à qualifier, conserver, communiquer : typiquement du travail pour les archivistes ! Pourtant l’implication de ces professionnels dans les projets open data n’a encore rien d’évident.
    Acheter ce numéro  ou  Abonnez-vous

    À lire sur Archimag

    Formulaire de recherche

    Le chiffre du jour

    C'est le nombre de documents relatifs aux attentats du 13 novembre 2015 et mis en ligne sur le site des Archives municipales de Paris.

    Nous suivre

    Publicité

    Recevez l'essentiel de l'actu !

    Le Mag

    Tout Archimag, à partir de 9,50 €
    tous les mois.