Une protection des données personnelles enfin adaptée à l’ère des nouvelles technologies

Les congés d’été approchent et, avec eux, la traditionnelle réflexion sur les grands chantiers qu’il faudra engager dès la rentrée prochaine ; la protection des données personnelles dans l’entreprise fait incontestablement partie de cette actualité...

Les congés d’été approchent et, avec eux, la traditionnelle réflexion sur les grands chantiers qu’il faudra engager dès la rentrée prochaine ; la protection des données personnelles dans l’entreprise fait incontestablement partie de cette actualité...

En effet, l’adaptation des entreprises aux nouvelles normes européennes[1] qui entreront en vigueur le 25 mai 2018 ne pourra pas se faire dans la précipitation mais supposera une analyse préalable des politiques de sécurité actuelles et de leur pertinence au regard des besoins et des enjeux ; elle ne pourra pas non plus être reportée car toute inaction exposera la société au paiement d’une amende qui, selon l’ampleur et la gravité des non-conformités relevées, pourra représenter jusqu’à 20 millions d’euros ou jusqu’à 4 % de son chiffre d’affaires mondial. 

 

Ce constat opéré, saisissons le sujet !

Dans son principe, l’évolution de la réglementation pour la protection des données personnelles apparaît heureuse ; jusqu’ici, les seules dispositions applicables aux 28 pays de l’Union Européenne résultaient en effet d’une Directive européenne de 1995[2], conçue à une époque où le traitement de données personnelles était résiduel, en l’absence d’Internet, de Smartphones et de médias sociaux.

 

La mise en œuvre de ces dispositions nouvelles ne s’annonce toutefois pas simple.

D’une part, le champ d’application du nouveau règlement européen est particulièrement large. Il impose en effet à tout acteur[3] européen collectant, gérant ou stockant des données personnelles de définir une politique claire et effective de sécurisation de ces informations. Il s’applique également à toute société basée hors d’Europe mettant en œuvre de tels traitements pour proposer des biens ou des services sur le territoire européen. Il souligne enfin que constitue une donnée personnelle toute information permettant d’identifier une personne quelle qu’elle soit (salarié, fournisseur, client, prospect, etc.), de manière directe ou indirecte, peu important le support sur lequel elle se trouve (ordinateurs, terminaux mobile, serveurs, courriels, etc.).

Autant dire que tous les acteurs économiques et sociaux sont concernés, quelle que soit leur taille et quels que soient leurs moyens, financiers ou techniques !

D’autre part, les obligations qui découlent du nouveau règlement européen sont nombreuses puisque - sous réserve d’obligations complémentaires qui seraient consacrées en droit français - elles imposent aux entreprises de pouvoir justifier en permanence auprès de la CNIL de ce que :

      1. Le traitement de données personnelles qu’elle opère est légitime ; à ce titre, l’entreprise devra en principe prouver le consentement des personnes concernées à l’usage de leurs données.

      2.Ce traitement est proportionné au but recherché, le recensement de données personnelles devant être le plus limité possible.

      3.Les personnes dont les données sont traitées disposent d’une information claire, intelligible et facilement accessible leur rappelant l’usage qui est fait de leurs données personnelles, la durée pendant laquelle leurs informations seront conservées, leur droit d’en demander la  rectification,  de s’opposer à tout moment à leur traitement ou la possibilité d’en solliciter la portabilité auprès d’un tiers.

      4. Ces informations sont sécurisées ; ceci supposera de justifier d’un contrôle très précis des opérations de traitement et de la mise en place de mesures techniques et opérationnelles permettant une protection effective des données personnelles.

       5 .Toute destruction, perte, altération ou divulgation de données personnelles est notifiée à l’intéressé dans les 72 heures (sauf motif légitime ou absence de risque de détournement), en lui précisant la défaillance relevée, le nombre de personnes concernés, les conséquences probables de cet incident et les mesures prises ou envisagées pour y mettre un terme.

      6. Ces données ne seront pas conservées plus longtemps que nécessaire.

      7. L’envoi de ces données en dehors de l’Europe est interdit, sauf à justifier d’un motif légitime et à disposer d’un système de transfert fiable garantissant un niveau de protection suffisant.

 

Au-delà, les entreprises dont l’activité implique un contrôle systématique de données personnelles (profilage par exemple) ou le traitement à grande échelle de données sensibles (données révélant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle ou encore les données génétiques ou biométriques) devront plus spécifiquement justifier :

         1. De la réalisation d’une étude d’impact complète faisant apparaître les caractéristiques du traitement et les mesures adoptées, lesquelles doivent être adaptées au regard du risque accru de violation auquel sont exposées ces données.

         2. De la désignation d’un Délégué à la protection des données (DPO) qui devra être indépendant et qui rappellera à l’entreprise ses obligations légales, contrôlera la conformité de sa situation par rapport aux normes européennes et fera le lien entre l’entreprise et la CNIL.

 

On l’aura compris, le facteur clé de succès dans cette démarche consistera pour l’entreprise à cartographier les données personnelles qu’elles traitent (nature, nombre, motifs) pour définir, au regard des systèmes d’information dont elle dispose, les moyens techniques nécessaires et réalistes qui lui permettront d’être cyber-résiliente !

 

Alix BAILLEUL et Romain THIESSET, Capstan Avocats

 

[1] Règlement européen sur la protection des données personnel n°2016/679 du 27 avril 2016, visé sous l’acronyme GDPR

[2]  Directive 95/46/CE du 24 octobre 1995

[3]  Sont ici concernés tous les organismes publics et privés, qu’il s’agisse d’entreprises, d’associations, d’administrations, de collectivités locales, de syndicats d’entreprise, etc.

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

D. Marie-Jeanne (Hartwood), "La formation coûte trop cher ? Essayez l’ignorance !"

D. Marie-Jeanne (Hartwood), "La formation coûte trop cher ? Essayez l’ignorance !"

Comment rendre opérationnelles de jeunes recrues tout en améliorant sa marque employeur ? En proposant, comme le fait Hartwood, un programme d’on-boar...

Wemean : "La raison d’être est plus que jamais un levier de transformation concrète"

Wemean : "La raison d’être est plus que jamais un levier de transformation concrète"

Les quatre associés et cofondateurs du cabinet Wemean plaident pour une raison d’être concrète et opérationnelle à tous les niveaux de l’organisation....

Sophie Cluzel : "La France consacre 2,2% de son PIB aux personnes en situation de handicap"

Sophie Cluzel : "La France consacre 2,2% de son PIB aux personnes en situation de handicap"

Aides aux entreprises, baromètre, mentorat… Sophie Cluzel, secrétaire d’État chargée des Personnes handicapées revient sur les initiatives destinées à...

G. Halpern (philosophe), "L’hybridation représente une stratégie de survie"

G. Halpern (philosophe), "L’hybridation représente une stratégie de survie"

Classes, évènements, télétravail, formations, etc : la crise sanitaire a consacré le règne de l’hybride. Mais comment dissocier ce qui en relève vraim...

"Oui, malgré le télétravail, le bureau reste indispensable"

"Oui, malgré le télétravail, le bureau reste indispensable"

Certains, conquis par le télétravail, ne veulent retourner au bureau qu'avec parcimonie. Pour autant, le bon vieil open space semble promis à un bel a...

F. Zocchetto (PayFit) : "Nous voulons devenir leader européen des solutions RH"

F. Zocchetto (PayFit) : "Nous voulons devenir leader européen des solutions RH"

En mars 2021, la start-up française PayFit a bouclé une nouvelle levée de fonds de 90 millions d'euros. L'entreprise, qui a connu une croissance à deu...

S. Spindler (Tryba) : " La digitalisation, sans les hommes,  cela ne fonctionne pas "

S. Spindler (Tryba) : " La digitalisation, sans les hommes, cela ne fonctionne pas "

Les forces commerciales du spécialiste des menuiseries Tryba ont réussi à tirer leur épingle du jeu pendant la crise sanitaire grâce à la digitalisa...

Nicolas Hieronimus. Qui est le nouveau patron de L’Oréal ?

Nicolas Hieronimus. Qui est le nouveau patron de L’Oréal ?

Nicolas Hieronimus, prendra la tête du leader mondial de la beauté à compter du 1er mai. La récompense ultime pour ce fidèle de la maison qui a grimpé...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message

Ce site utilise des cookies. En continuant la navigation, vous acceptez nos conditions d'utilisation des cookies.
Plus d'informations

J'accepte