Article réservé aux abonnés Archimag.com

Données personnelles : le nouveau cadre européen

  • silhouette.jpg

    Les personnes pourront s’opposer à faire l’objet de profilage à des fins de prospection et retirer le consentement au traitement de leurs données à caractère personnel, pour les traitements reposant sur ce seul fondement. (r2hox / Visualhunt / CC BY-SA)
  • Adoption du nouveau cadre européen relatif à la protection des données personnelles : les entreprises ont deux ans pour se mettre en conformité.

    Après quatre année de débats intenses, le Règlement général relatif à la protection des données personnelles (RGDP) a enfin été adopté par le Parlement européen le 14 avril 2016. D’application immédiate et uniforme dans toute l’Union européenne, et même au-delà (2), il vise à remplacer la directive 95/46/CE du 24 octobre 1995 transposée en France dans la loi Informatique et libertés du 6 janvier 1978 modifiée en 2004.

    Bien que les nouvelles exigences ne soient applicables qu’à partir du 24 mai 2018 (2), les entreprises, organismes publics et autres organisations devraient se pencher sans plus tarder sur les conséquences de cette adoption tant les changements induits sont importants. Les éléments suivants devraient plus particulièrement retenir l’attention.

    1. Obligation de démontrer la conformité (principe d’accountability)

    Si les principes (licéité et loyauté, transparence, finalité, proportionnalité, qualité des données, durée de conservation limitée, sécurité…) demeurent globalement inchangés, la réponse aux nouvelles exigences implique un changement radical de culture et d’investissement de la part des responsables de traitement. Ils devront en effet, en application du nouveau « principe d’accountability », être en mesure de démontrer la conformité des traitements mis en œuvre au RGPD en adoptant une approche par les risques.

    Cette démarche implique notamment de disposer de procédures écrites, de mesures techniques et d’une organisation interne appropriées, ainsi que de mettre en œuvre les diligences spécifiques prescrites par le règlement, comme la conduite d’étude d’impact sur la vie privée ou encore la mise en œuvre de mesures de protection de la vie privée dès la conception (privacy by design) ou par défaut (privacy by default) pour garantir la sécurité des traitements. La tenue obligatoire d’une cartographie des traitements va venir remplacer en partie l’accomplissement de formalités, une procédure de consultation préalable de la Cnil demeurant applicable pour les traitements pour lesquels les risques sont importants.

    2. Responsabilité accrue des sous-traitants

    Le règlement met par ailleurs fin à la quasi-impunité dont jouissaient jusqu’à présent les sous-traitants qui n’étaient pas redevables auprès des personnes concernées de l’obligation de sécurité, faisaient notamment porter aux seuls responsables de traitement l’intégralité de la responsabilité liée aux fail....

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !

    Tiraillées entre les demandes d’extension de leurs horaires et la question du prêt numérique, les bibliothèques se bougent pour faire évoluer autant leurs murs que la manière de les aménager et de les outiller.
    Acheter ce numéro  ou  Abonnez-vous

    À lire sur Archimag

    Le chiffre du jour

    C'est le nombre de documents relatifs aux attentats du 13 novembre 2015 et mis en ligne sur le site des Archives municipales de Paris.

    Recevez l'essentiel de l'actu !

    Le Mag

    Tout Archimag, à partir de 9,50 €
    tous les mois.