RGPD : 6 clés pour se mettre en conformité et protéger ses données

Le 04/12/2017 - Par
Le RGPD fait des données à caractère personnel un enjeu majeur pour les entreprises européennes et renforce les droits reconnus à la personne dont les données sont collectées.

Le RGPD (Règlement européen sur la protection des données), qui entrera en vigueur le 25 mai 2018, entend uniformiser la protection des données dans toute l’Union européenne et mettre à jour le droit européen. Basé sur la directive 95/46/CE de 1995, ce règlement renforce le contrôle des citoyens européens sur l’utilisation de leurs données personnelles. Pour se mettre en conformité, six points sont à prendre en considération.

Avec le RGPD, les données à caractère personnel deviennent un enjeu majeur pour les entreprises européennes. Ce réglement renforce les droits reconnus à la personne dont les données sont collectées. Il change également le type de régulation applicable aux données, avec moins de contrôle par la CNIL, plus de responsabilisation des entreprises, et un niveau de sanction rehaussé. Il est donc important de connaître ce règlement et la nouvelle logique de régulation sur laquelle il repose.

Et ce, d’autant qu’il impose également de nouveaux outils et mécanismes dont :

  • la création et la tenue d’un registre des traitements. Celui-ci assure l’inventaire des traitements de l’organisation utilisant des données à caractère personnel (transferts hors UE, notifications, PIA, etc.). Pour chacun de ces traitements, le responsable doit indiquer son type (manuel ou automatique) et les conditions d’exécution (contrat, consentements, etc.). Il offre ainsi une cartographie des traitements et des durées de conservation. Cet inventaire se fait à l’aide d’un logiciel ou d’automates qui permettent de rassembler les données, qu’elles soient stockées dans des conteneurs (bases de données, fichiers, etc.) ou via des d’écrans d’application (SaaS). Ces données peuvent ensuite être classifiées dans différents systèmes, définis en fonction des besoins de l’entreprise. Ce registre doit être conservé non seulement par le responsable du traitement, mais aussi par ses éventuels sous-traitants, et doit pouvoir être mis, à tout moment, à la disposition des autorités de contrôle (la CNIL en France).
     
  • la création de fiches individuelles. Ces fiches sont issues du registre des traitements et contiennent les informations demandées par les autorités nationales, à savoir : une description du traitement, sa licéité, les données à caractère personnel utilisées, leur durée de conservation, les éventuels transferts, etc. Elles permettront au DPO de faire respecter les droits des personnes (droit d’accès, droit de rectification, droit à la portabilité, droit d’opposition, etc.).
     
  • l’anonymisation/pseudonymisation des données. Parce que, dans bien des cas, les données sont extraites des environnements de production et sont utilisées dans des contextes non reconnus, et que dans ce cas, les mécanismes de sécurisation ne sont pas opérationnels, il convient d’utiliser des outils de pseudonymisation ou d’anonymisation. La pseudonymisation permet de “camoufler” les données à caractère personnel ou les données considérées comme confidentielles et à remplacer la valeur de la donnée (par exemple un nom : Mr Durand) par une valeur fictive, mais compréhensible (par exemple : Machinchose). Avec l’anonymisation, on ajoute un cran à la sécurité. Il devient dès lors impossible de ré-identifier une personne quel que soit le problème, la faille ou l’attaque.  
     
  • l’audit des contenus. Certaines technologies peuvent être utilisées pour l’analyse et l’identification du contenu des bases de données (y compris les zones de commentaires libres), mais aussi des documents, des mails et de toute autre information textuelle. Ces textes peuvent, en effet, contenir des propos inadaptés, blessants ou injurieux, et peuvent, in fine, porter préjudice aux entreprises qui les abritent.
     
  • le Privacy by design. L’un des articles du RGPD stipule que seules les données à caractère personnel nécessaires au regard de chaque finalité spécifique du traitement doivent être traitées. Ce qui impose d’éliminer des bases de données toutes données à caractère personnel qui n’a pas de raison légitime de s’y trouver. Le principe du Privacy by design impose par ailleurs la mise en place de mesures proactives et préventives, à savoir une protection intégrale et automatique des données personnelles par le biais d’un dispositif de chiffrement et une sécurité de bout en bout, durant toute la durée de la conservation des données, etc. La protection de la vie privée est donc intégrée par défaut dans les relations avec les clients et les tiers. La protection des données personnelles n’est ainsi plus une simple option parmi d’autres.
     
  • l’analyse d’impact. Il conviendra également de consulter au préalable l’autorité de protection des données (la CNIL en France) et de mener une analyse d’impact relative à la protection des données. Cela concerne notamment les traitements de données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi, fait nouveau, les données génétiques ou biométriques). D’où l’importance de la mise en œuvre des mécanismes de « Privacy by design » et de « Privacy by default » visant à garantir la protection des données par défaut ou dès la conception.


 

À lire sur Archimag