Une protection des données personnelles enfin adaptée à l’ère des nouvelles technologies

Les congés d’été approchent et, avec eux, la traditionnelle réflexion sur les grands chantiers qu’il faudra engager dès la rentrée prochaine ; la protection des données personnelles dans l’entreprise fait incontestablement partie de cette actualité...

Les congés d’été approchent et, avec eux, la traditionnelle réflexion sur les grands chantiers qu’il faudra engager dès la rentrée prochaine ; la protection des données personnelles dans l’entreprise fait incontestablement partie de cette actualité...

En effet, l’adaptation des entreprises aux nouvelles normes européennes[1] qui entreront en vigueur le 25 mai 2018 ne pourra pas se faire dans la précipitation mais supposera une analyse préalable des politiques de sécurité actuelles et de leur pertinence au regard des besoins et des enjeux ; elle ne pourra pas non plus être reportée car toute inaction exposera la société au paiement d’une amende qui, selon l’ampleur et la gravité des non-conformités relevées, pourra représenter jusqu’à 20 millions d’euros ou jusqu’à 4 % de son chiffre d’affaires mondial. 

 

Ce constat opéré, saisissons le sujet !

Dans son principe, l’évolution de la réglementation pour la protection des données personnelles apparaît heureuse ; jusqu’ici, les seules dispositions applicables aux 28 pays de l’Union Européenne résultaient en effet d’une Directive européenne de 1995[2], conçue à une époque où le traitement de données personnelles était résiduel, en l’absence d’Internet, de Smartphones et de médias sociaux.

 

La mise en œuvre de ces dispositions nouvelles ne s’annonce toutefois pas simple.

D’une part, le champ d’application du nouveau règlement européen est particulièrement large. Il impose en effet à tout acteur[3] européen collectant, gérant ou stockant des données personnelles de définir une politique claire et effective de sécurisation de ces informations. Il s’applique également à toute société basée hors d’Europe mettant en œuvre de tels traitements pour proposer des biens ou des services sur le territoire européen. Il souligne enfin que constitue une donnée personnelle toute information permettant d’identifier une personne quelle qu’elle soit (salarié, fournisseur, client, prospect, etc.), de manière directe ou indirecte, peu important le support sur lequel elle se trouve (ordinateurs, terminaux mobile, serveurs, courriels, etc.).

Autant dire que tous les acteurs économiques et sociaux sont concernés, quelle que soit leur taille et quels que soient leurs moyens, financiers ou techniques !

D’autre part, les obligations qui découlent du nouveau règlement européen sont nombreuses puisque - sous réserve d’obligations complémentaires qui seraient consacrées en droit français - elles imposent aux entreprises de pouvoir justifier en permanence auprès de la CNIL de ce que :

      1. Le traitement de données personnelles qu’elle opère est légitime ; à ce titre, l’entreprise devra en principe prouver le consentement des personnes concernées à l’usage de leurs données.

      2.Ce traitement est proportionné au but recherché, le recensement de données personnelles devant être le plus limité possible.

      3.Les personnes dont les données sont traitées disposent d’une information claire, intelligible et facilement accessible leur rappelant l’usage qui est fait de leurs données personnelles, la durée pendant laquelle leurs informations seront conservées, leur droit d’en demander la  rectification,  de s’opposer à tout moment à leur traitement ou la possibilité d’en solliciter la portabilité auprès d’un tiers.

      4. Ces informations sont sécurisées ; ceci supposera de justifier d’un contrôle très précis des opérations de traitement et de la mise en place de mesures techniques et opérationnelles permettant une protection effective des données personnelles.

       5 .Toute destruction, perte, altération ou divulgation de données personnelles est notifiée à l’intéressé dans les 72 heures (sauf motif légitime ou absence de risque de détournement), en lui précisant la défaillance relevée, le nombre de personnes concernés, les conséquences probables de cet incident et les mesures prises ou envisagées pour y mettre un terme.

      6. Ces données ne seront pas conservées plus longtemps que nécessaire.

      7. L’envoi de ces données en dehors de l’Europe est interdit, sauf à justifier d’un motif légitime et à disposer d’un système de transfert fiable garantissant un niveau de protection suffisant.

 

Au-delà, les entreprises dont l’activité implique un contrôle systématique de données personnelles (profilage par exemple) ou le traitement à grande échelle de données sensibles (données révélant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle ou encore les données génétiques ou biométriques) devront plus spécifiquement justifier :

         1. De la réalisation d’une étude d’impact complète faisant apparaître les caractéristiques du traitement et les mesures adoptées, lesquelles doivent être adaptées au regard du risque accru de violation auquel sont exposées ces données.

         2. De la désignation d’un Délégué à la protection des données (DPO) qui devra être indépendant et qui rappellera à l’entreprise ses obligations légales, contrôlera la conformité de sa situation par rapport aux normes européennes et fera le lien entre l’entreprise et la CNIL.

 

On l’aura compris, le facteur clé de succès dans cette démarche consistera pour l’entreprise à cartographier les données personnelles qu’elles traitent (nature, nombre, motifs) pour définir, au regard des systèmes d’information dont elle dispose, les moyens techniques nécessaires et réalistes qui lui permettront d’être cyber-résiliente !

 

Alix BAILLEUL et Romain THIESSET, Capstan Avocats

 

[1] Règlement européen sur la protection des données personnel n°2016/679 du 27 avril 2016, visé sous l’acronyme GDPR

[2]  Directive 95/46/CE du 24 octobre 1995

[3]  Sont ici concernés tous les organismes publics et privés, qu’il s’agisse d’entreprises, d’associations, d’administrations, de collectivités locales, de syndicats d’entreprise, etc.

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

Sarah El Haïry : "Les jeunes ont une bonne image de l’entreprise"

Sarah El Haïry : "Les jeunes ont une bonne image de l’entreprise"

La secrétaire d’État chargée de la Jeunesse et de l’Engagement fait le point sur les mesures destinées à stimuler l’emploi de la jeune génération qu’e...

Négociations sur le télétravail, bientôt la fin du suspense ?

Négociations sur le télétravail, bientôt la fin du suspense ?

Depuis trois semaines, syndicats et patronat s’entretiennent par visioconférence pour actualiser le cadre du travail à distance. Le point sur l’avancé...

O.Cortyl (Celio): "Ne pas tomber dans le piège d’une marque employeur autocentrée"

O.Cortyl (Celio): "Ne pas tomber dans le piège d’une marque employeur autocentrée"

Leader du marché du prêt-à-porter en France, Celio cherche sans cesse de nouveaux talents. L’occasion de revenir avec Olivier Cortyl, le directeur du...

Nouvel épisode dans le feuilleton Veolia Suez

Nouvel épisode dans le feuilleton Veolia Suez

La Cour d’appel de Paris a confirmé, jeudi 19 novembre, l’ordonnance de référé qui avait conditionné l’opération de rachat Veolia-Suez à l’information...

J.Lamadon (Norma Avocats) : " Négocier sur la qualité de vie au travail pour relever le défi millennials "

J.Lamadon (Norma Avocats) : " Négocier sur la qualité de vie au travail pour relever le défi millenn...

En 2025, 75 % des effectifs seront composés de « Millennials ». Cette statistique hante les DRH qui s’interrogent sur l’organisation digne d’attirer c...

Inégalités de genre : imposer les femmes à la table des discussions

Inégalités de genre : imposer les femmes à la table des discussions

Les femmes paient le prix fort de la pandémie. Pour limiter le recul déjà constaté en matière d’égalité, le Women’s Forum plaide pour une inclusion pl...

Entreprises : Concilier santé économique et santé mentale des salariés

Entreprises : Concilier santé économique et santé mentale des salariés

Alors qu’un numéro vert vient d’être mis en place pour venir en aide aux salariés en détresse psychologique, le dernier Baromètre Empreinte Humaine-Op...

L.Valot (First Group Learning): "La crise sanitaire fait évoluer les pratiques d’apprentissage "

L.Valot (First Group Learning): "La crise sanitaire fait évoluer les pratiques d’apprentissage "

La formation professionnelle faisait déjà beaucoup parler d’elle avant la crise. Les situations de confinement et les nouvelles règles sanitaires ont...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message

Ce site utilise des cookies. En continuant la navigation, vous acceptez nos conditions d'utilisation des cookies.
Plus d'informations

J'accepte