Comment se préparer au RGPD, règlement européen sur la protection des données?
Une nouvelle ère de la protection des données s'ouvre. Pour les marques et leurs sous-traitants, des mises en conformité doivent être rapidement entamées pour se mettre en accord avec le règlement sur la protection des données.
Je m'abonneÀ moins de 500 jours de l'entrée en vigueur de la réglementation européenne sur la protection des données à caractère personnel, "la tâche est immense, annonce Paul-Olivier Gibert, président de l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP), en introduction de la 11e Université AFCDP des Correspondants Informatique & Libertés, le 25 janvier. Le texte est complexe, précise-t-il, et il s'ouvre un important travail de précision et de définition des règles du règlement européen pour le rendre applicable au 25 mai 2018." Le président de l'AFCDP l'affirme : "Nous entrons dans une nouvelle ère de la protection des données."
D'autant, que la loi pour la République numérique, du 7 octobre 2016, introduit plusieurs nouveautés majeures dans la loi Informatique et Libertés, dont la multiplication par 20 du plafond des sanctions que peut prononcer la Commission nationale informatique et libertés (CNIL), qui passe de 150 000 euros à 3 millions d'euros - déjà en vigueur - et la portabilité des données - qui entrera en vigueur en 2018. Était-ce (vraiment) le bon moment pour une nouvelle loi, en pleine appréhension des mesures du règlement européen ?
"Le règlement européen donne la possibilité aux États membres de choisir s'ils souhaitent anticiper les mesures de protection des données. Étant donné l'urgence exprimée par les citoyens quant à la protection de leurs data, la décision d'intégrer des éléments du texte s'est imposée, notamment pour renforcer le pouvoir de la CNIL", explique Luc Belot, député du Maine-et-Loire, et rapporteur pour la commission des lois de l'Assemblée nationale, à l'occasion de la 11e Université.
Règlement européen : comment anticiper ?
Plus que 484 jours. Le compte à rebours avant l'application du règlement européen sur la protection des données personnelles - qui vise à harmoniser les pratiques des États membres - est bien enclenché. Les Correspondants Informatiques et Libertés (CIL), futurs Délégués à la protection des données (DPO) sont au coeur du dispositif... et ont la charge de diffuser l'esprit de la loi dans les entreprises. Pour se préparer, Michel Rime, CIL du groupe Argosyn (groupe des 3 Suisses), a "collecté des informations sur les nouveautés du texte à travers la CNIL, l'AFDCP, différents clubs - Fevad, UDA...- et cabinets d'avocats". Sans oublier, bien sûr, de lire le règlement. Puis, a partagé avec la direction et les métiers impactés plusieurs documents : les nouveautés du texte regroupées dans un article de 4 pages ; les conséquences informatiques et organisationnelles du règlement ; le nouveau contrat ; le nouveau registre entreprise de plus de 200 salariés ; les nouvelles mentions d'information qui devront apparaître sur les sites Web, ainsi que la procédure de notifications des failles de sécurité. L'erreur serait de vouloir commencer tous les projets en même temps, prévient-il.
Quels changements ?
Les changements attendus portent notamment sur le consentement - et sa preuve -, la nomination d'un DPO, ou, encore la responsabilité.
Consentement. En pratique, le règlement impose de rendre plus clair le consentement des internautes au traitement des données les concernant, par exemple au moyen d'une déclaration écrite ou par voie électronique (cocher une case). L'accord doit être "libre, spécifique, éclairé et univoque". "Il ne saurait y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité, précise le règlement. [...] Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles." Le consentement est le fondement au traitement des données.
Preuve du consentement. Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement doit être capable de prouver ce consentement.
DPO. Les responsables de traitement des données et les sous-traitants devront désigner un DPO, s'ils appartiennent au secteur public, s'ils réalisent du profiling à grande échelle ou s'ils traitent des données "sensibles" à grande échelle. Le DPO peut être mutualisé. L'AFCDP demande que soit ménagée une "clause du grand-père" qui permettrait à ces CIL qui le souhaitent et qui répondent aux nouvelles exigences d'être confirmés dans leur fonction en tant que DPO.
Responsabilité. Les sous-traitants engagent désormais leur responsabilité sur la protection des données. Ils doivent, comme les entreprises, pouvoir prouver à tout moment qu'ils protègent les données. Le règlement impose également une conservation limitée des données.
Pour aller plus loin :
- A quoi doivent s'attendre les marketers?
- Les marques toujours perçues comme intrusives par les Français
- Gestion des données personnelles : seulement 18 mois pour se mettre en conformité