Tél : 01 55 58 19 00
D'ici le 25 mai 2018, les entreprises européennes doivent faire évoluer leur IT pour éviter les sanctions :
Quels sont les enjeux et les impacts de la GDPR ?

 

Définition de la GDPR :

La Commission européenne, le Parlement européen et le Conseil européen se sont entendus sur un nouveau Règlement Européen pour la Protection des Données Personnelles (1). Ce règlement est également appelé Global Data Protection Regulation ou GDPR. Il entrera en application le 25 mai 2018. Les autorités des protections des données auront davantage de moyens pour accentuer les contrôles et instaurer des contraintes. Ce texte paneuropéen impose aux organisations, et donc à leur service informatique, la mise en place de nouvelles mesures. Ces dernières concernent la visibilité, le contrôle, le stockage, le partage, la surveillance et la protection des données personnelles que les entreprises utilisent. Il s'agit d'un règlement, et non d'une directive : le texte sera donc directement applicable dans chaque état membre. Une loi antérieure ou postérieure ne saurait être incompatible avec.

Quels sont les objectifs de cette réforme ?

- Permettre à l'Europe de mieux s'adapter aux nouvelles réalités du numérique des 10 dernières années (augmentation exponentielle de la collecte et des échanges de données, nouvelles modalités d'accès aux données...)
- Harmoniser les protections des données personnelles dans l'Union Européenne pour que le même droit s'applique de manière uniforme sur l'intégralité du territoire
- Renforcer et unifier les droits des personnes sur le territoire européen en plaçant la protection des données personnelles au centre des processus des entités ( droit à la portabilité des données, droit à la suppression des données, droit à l'oubli ...)
- Améliorer l'expérience client en lui offrant plus de transparence et en l'informant mieux des usages transferts liés à ses données personnelles ( usage des cookies...)
- Faciliter les flux de données et harmoniser la concurrence pour une meilleure intégration économique du fait du marché unique

 

Les obligations majeures :

 

- Responsabilité et gouvernance : maintenir une documentation sur le traitement des données et mettre en place des mesures prouvant le respect de la loi.

 

- Notification des violations de données : l'organisation qui découvre une violation à déclarer obligatoirement doit signaler celle-ci dans les 72 heures à l'autorité de contrôle.

 

- Limitation du stockage : les données personnelles ne peuvent pas être conservées plus longtemps que ne l'impose la finalité pour laquelle elles ont été collectées initialement.

 

- Droits des personnes : une personne a la possibilité de demander la suppression ou le retrait de ses données personnelles qui n'ont plus de raison valable de perdurer.

 

 

Quelles sont les sanctions encourues pour non-respect du règlement ?

-Une amende pouvant atteindre jusqu'à 4% du chiffre d'affaires mondial de l'organisation pour manquements aux principes fondamentaux du Règlement Européen des Données personnelles, notamment la violation des principes de sécurité des données ou de consentement des consommateurs (articles 5 et 7).
-Une amende plafonnée à 2% du chiffre d'affaires global pour les entreprises n'ayant pas réalisé d'évaluation d'impact, n'ayant pas informé l'autorité de contrôle et la personne concernée par une violation ou n'ayant pas effectué correctement la tenue des enregistrements (articles 28, 31, 32 et 33).

Qui est concerné ?

-Toute personne basée en Union Européenne (UE),
-Toute organisation (publique, privée ou associative) basée en Union Européenne (UE),
-Toute entité non membre de Union Européenne (UE) gérant des données de résidents européens (même si celles-ci ne sont pas établies dans un état membre de l'UE),
qui collecte, traite et stocke des données personnelles (clients, collaborateurs...).

Quel rétroplanning ?



Que faire ? Des pistes...

- Mettre en place les mesures techniques et organisationnelles adaptées pour respecter les contraintes du législateur et pour pouvoir le démontrer - Savoir cartographier les données traitées pour disposer d'une vision claire des traitements(2) des données et de leur flux. Cette opération permettra d'identifier les risques associés à chaque traitement et responsable de traitement(3).
- Gérer le cycle de vie de la donnée et décider d'un plan d'action pour le gérer ainsi que pour hiérarchiser les données
- Gérer la recherche des données pour permettre leur consultation, en fonction des autorisations définies
- Contrôler la donnée et surveiller le respect de sa conformité
- Définir les développements des produits, solutions et services en respect de la GDPR (Privacy By Design). Tout traitement mis en oeuvre devra être conçu dès l'origine pour protéger les données personnelles.
- Réaliser une étude d'impact avant la mise en oe“uvre du traitement tout particulièrement pour les traitements à haut risque (profiling...).
- S'assurer d'un usage déterminé et légitime des données recueillies et traitées et que leur usage ne soit pas détourné de sa finalité.
- Savoir notifier les personnes impactées de failles de sécurité en mettant en place des processus et les moyens adaptés ...

Une base de données conforme à la loi constituera un patrimoine immatériel à l'actif de la société !

Scasicomp vous accompagne dans l'évolution de votre datacenter pour être prêt pour 2018 !




LEXIQUE


(1) Définition d'une donnée personnelle :
"Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. "

Art. 2 de la loi "Informatique et libertés" de 1978
La notion de données personnelle doit être entendue au sens large, peu importe son contenu, sa forme (image, empreinte..), son usage, son sens...Il s'agit des données comportementales, déclaratives ou sociodémographiques. Il s'avère nécessaire de prendre en compte l'intégralité des moyens qui permettent l'identification d'une personne par le responsable de traitement.

(2) Définition du traitement de donnée :
" Toute opération, ou ensemble d'opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, ...) "

Article 2 alinéa 3 de la loi Informatique et Libertés
https://www.cnil.fr/fr/definition/traitement-de-donnees-caractere-personnel

(3) Définition du responsable du traitement :
" Le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens. "
http://www.marche-public.fr/Marches-publics/Definitions/Entrees/Responsable-traitement-donnees.htm