Le RGPD (Règlement général sur la protection des données) est l’affaire de tous les dirigeants d’entreprise, notamment de PME et ETI, qui sont tenus de veiller au respect des données personnelles qu’ils exploitent pour mieux protéger les utilisateurs. Certains pourtant ne saisissent pas vraiment l’importance et l’urgence d’une telle mise en conformité…petit rappel des enjeux qui se cachent derrière le RGPD.
Par Serge de Cluny
L’entrée en vigueur du RGPD a modifié fondamentalement le traitement des données personnelles puisqu’il responsabilise l’entreprise sur l’utilisation des données personnelles en sa possession. A titre de rappel, une donnée personnelle est définie comme toute information ayant attrait à une personne physique identifiée ou identifiable, comme le nom, le prénom, l’adresse postale ou mail, etc…
Lorsqu’on parle de traitement de données personnelles, il s’agit d’une large gamme d’opérations effectuées sur des données à caractère personnel, de manière automatisée ou manuelle, ayant un but spécifique comme, par exemple:
- La gestion du personnel et administration des salaires
- L’accès à/consultation d’une base de données de contacts contenant des données à caractère personnel
- L’envoi d’e-mails promotionnels
- Le déchiquetage de documents contenant des données à caractère personnel;
- La publication/affichage d’une photo d’une personne sur un site internet;
- La conservation d’adresses IP ou d’adresses MAC
- L’enregistrement de vidéosurveillance
Les objectifs du RGPD
- Le droit des personnes
Ce droit va se manifester à travers 3 points : le consentement obligatoire des utilisateurs (article 7) qui doivent être mis au courant de l’utilisation de leurs données, le droit de portabilité qui permet aux utilisateurs de réclamer la récupération de leurs données et le droit à la réparation pour tout dommage subi.
- Le principe de responsabilité
Celui-ci comprend deux concepts : l’accountability qui oblige à mettre en pratique des mécanismes justifiant le respect des règles relatives à la protection des données et le privacy design qui désigne l’effort de réflexion sur la protection des données personnelles avant le début de tout projet.
- La coopération entre les autorités
Des mesures existent dans le RGPD afin d’améliorer la coopération entre les autorités et de permettre un meilleur contrôle des données et une meilleure coordination des autorités.
La mise en conformité
Chaque dirigeant est garant de la conformité de son entreprise. Pour cela, il est impératif de mettre en place des règles de bonne conduite et des outils de conformité tels que la tenue d’un registre de traitement de données, le tri des données uniquement nécessaires ou enfin la sécurisation des données au service du droit des personnes.
Certaines ETI ont d’ores et déjà crée un poste de DPO (Data Protection Officer) dont la fonction est essentiellement de contrôler la conformité de l’entreprise au RGPD.