Ce que vous devez savoir
A l’heure des « e-stratégies », il était important de prévoir l’adoption d’un cadre juridique pour une utilisation des nouvelles technologies de l’information et de la communication, appropriée et respectueuse des droits et libertés de chacun : le RGPD, nouveau texte de référence Européen en matière de protection des données personnelles, s’appliquera dès le 25 mai 2018.
Si certains y voient une nouvelle contrainte, d’autres savent que ce règlement peut aussi constituer une opportunité majeure et structurante de développer leur impact auprès de leurs clients sur le principe de la confiance. La contrainte devient alors un atout qui peut déboucher sur un avantage compétitif.
Un peu de sémantique :
Données à caractère personnel
Toute information se rapportant à une personne physique identifiée ou identifiable.
Personne physique identifiable
Une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant.
Les principales clés de la
protection des données personnelles :
1 la Finalité : Définir les objectifs des données collectées :
Avant toute collecte et utilisation de données personnelles, l’entreprise doit précisément annoncer aux personnes concernées ce à quoi elles vont lui servir. Ces objectifs, appelés "finalités", doivent respecter les droits et libertés des individus. Ils limitent la manière dont le responsable pourra utiliser ou réutiliser ces données dans le futur.
2 La pertinence : Vérifier la pertinence des données
Seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées : c’est le principe de minimisation de la collecte. L’entreprise ne doit donc pas collecter plus de données que ce dont elle a vraiment besoin. Elle doit également faire attention au caractère sensible de certaines données.
3 La Conservation : Limiter la conservation des données
Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de les conserver et elles doivent être supprimées ou sécurisées. Toute durée de conservation doit être définie au préalable, en tenant compte des éventuelles obligations à conserver certaines données.
4 Les droits : Respecter les droits des personnes
Des données concernant des personnes peuvent être collectées à la condition essentielle qu’elles aient été informées de cette opération. Ces personnes disposent également de certains droits qu’elles peuvent exercer auprès de l’organisme qui détient ces données le concernant : la CNIL permet un droit d’accéder à ces données, un droit de les rectifier et enfin un droit de s’opposer à leur utilisation.
5 La Sécurité : Sécuriser les données
L’entreprise doit prendre toutes les mesures nécessaires pour garantir la sécurité des données qu’elle a collectées mais aussi leur confidentialité, c'est-à-dire s’assurer que seules les personnes autorisées y accèdent. Ces mesures pourront être déterminées en fonction des risques pesant sur ce fichier (sensibilité des données, objectif du traitement…)
En pratique, quels sont les changements
à prévoir au sein de vos entreprises ?
- Désigner un délégué à la protection des données
- Inventorier vos données au sein d’un registre accessible à la CNIL sur demande
- Mettre en place un plan d’action en 3 axes :
- Axe informatique : confidentialité, sécurité et archivage des données.
- Axe contractuel : reprise de vos conventions et relations avec les tiers et sous-traitants.
- Axe procédural : droit d’accès des personnes concernées, portabilité.
Nous sommes tous susceptibles de subir des attaques et des malveillances informatiques par le détournement de données.
Pour vous aider à vous prémunir, des conséquences d’un tel évènement, le cabinet Bellecour a réalisé pour ses clients un Bench mark. Nous sommes désormais en mesure de vous proposer une solution complète et compétitive.