RGPD et protection des données informatiques: on en parle de plus en plus…

Le Règlement Général sur la Protection des Données (RGPD) tend à instaurer un cadre légal applicable au traitement de données relatives à des individus. En Belgique, la Commission de la Protection de la Vie Privée (organe de contrôle dans cette matière) pourra bientôt infliger des amendes administratives. Il vaut donc mieux être en conformité pour le 25 mai 2018.

Beaucoup d’affiliés pensent que le GDPR ne s’appliquera qu’à certaines grandes entreprises qui disposent de quantités énormes de données personnelles. Or le GDPR s’appliquera aussi par exemple aux associations agréées « CISP » puisque dans les faits, toutes disposent d’informations se rapportant à des personnes physiques en version électronique ou sur support papier. Il n’existe pas d’exception pour les petites associations. Néanmoins, le niveau d’exigence ne sera pas le même en fonction du type de données traitées et le volume de celles-ci. Il n’y a que quelques formalités auxquelles les PME et les TPE échappent.

Dresser un état des lieux

La première étape est d’effectuer un état des lieux de tous les types de données conservées, suivi de l’identification des données à caractère personnel. Parmi celles-ci, on distingue certaines appelées communément « données sensibles ». Un mauvais usage de ces données serait particulièrement dommageable pour la personne, comme, par exemple, des informations relatives à la santé, l’appartenance religieuse ou syndicale, ou encore l’orientation sexuelle. Ces données sont soumises à des règles particulières plus strictes afin d’éviter tout risque de détournement :

  1. Dans quel but l’entreprise dispose-t-elle d’une donnée ? Est-ce (encore) nécessaire de la garder ? S’il n’y a aucune raison précise de la garder, il faut la supprimer ou éventuellement l’anonymiser.
  2. Quel fondement juridique permet à l’entreprise de traiter cette donnée ? Cette question a été l’objet d’un avis de la commission qui confirme le caractère fondé des informations dont les CISP disposent.
  3. La donnée est-elle exacte et encore d’actualité ? Si ce n’est pas le cas, il faut l’effacer ou essayer de la mettre à jour.

Les principales obligations à respecter

Cet effort de cartographie effectué, il faut encore respecter une série d’obligations qui permettront une gestion responsable des données personnelles. On passe en effet à un système de contrôle a posteriori où il faut pouvoir justifier la manière dont sont gérées les données personnelles traitées par l’entreprise et prouver le cas échéant qu’elle a fait consciencieusement ce qui est imposé. C’est ce qu’on appelle en anglais le principe d’accountability. Pour devenir « accountable » au sens du GDPR, voici les principales obligations à remplir.

  1. La première étape est de vérifier si l’entreprise doit désigner un délégué à la protection des données. Si toutes les entreprises n’ont pas l’obligation d’en nommer formellement un, il est préférable dans tous les cas qu’une personne spécifique soit chargée de s’occuper de ces questions. Le cas échéant il est possible de faire appel à un conseiller extérieur (consultant, avocat). Il aura principalement pour tâche d’assurer de manière parfaitement indépendante le respect de la législation et la sensibilisation de l’ensemble du personnel de l’entreprise à ces nouvelles règles. De la comptabilité au business en passant par les ressources humaines, tous les services doivent être impliqués.
  2. Il faut ensuite établir un registre de traitements. Ce registre, qui se présente généralement sous la forme d’un tableau, reprendra pour chaque type de données personnelles une série d’informations sur la manière dont les données sont traitées et comment elles sont gérées chacune spécifiquement. Une nouvelle fois, ce registre n’est pas obligatoire pour tous. Mais en pratique, cet exercice de cartographie est nécessaire pour respecter les autres obligations qui incombent à une entreprise.
  3. Sur base de ce registre, il convient d’évaluer les risques et dangers pour les stagiaires dont les données sont traitées en cas de vol, d’altération, de suppression, … Afin de limiter ces risques, il faudra mettre en place les mesures de protection nécessaires. Cela passera notamment par une bonne sécurité informatique (mots de passe solides, antivirus, …) et la mise en place d’une politique de bonne gestion de l’information dans l’entreprise. En cas d’incident majeur (vol de données par exemple), il est obligatoire d’en informer la Commission de Protection de la Vie Privée et, dans certains cas, les personnes concernées par les données.
  4. Ensuite, une réévaluation de la fiabilité et du sérieux des sous-traitants est nécessaire. Par sous-traitant, il faut comprendre les personnes extérieures à l’entreprise qui traitent des données personnelles pour son compte (hébergeur, consultant IT, …). Il faut vérifier que ces sous-traitants offrent des garanties techniques et organisationnelles suffisantes quant au respect des règles. Ceci doit notamment apparaître dans les contrats conclus avec ces derniers.
  5. Enfin, il faut envisager les questions liées à l’usage du cloud pour héberger des données personnelles. En principe, il est interdit de mettre les données personnelles dans un cloud dont les serveurs ne sont pas clairement localisés en Europe. Si ces données sont stockées hors d’Europe, il est nécessaire de passer par des partenaires qui peuvent fournir des garanties appropriées équivalentes à celles imposées en Europe par le RGPD.

Droit des personnes concernées

Les entreprises ont l’obligation d’informer les personnes au sujet des données qu’elles possèdent à leur sujet et de ce qu’elles en font précisément. En plus de cette transparence, ces personnes peuvent demander, dans certains cas, que ses données soient effacées, que l’entreprise leur fournisse une copie de ses données et que certaines données erronées soient corrigées.

Sanctions

Ne pas respecter le RGPD peut coûter très cher et expose à des sanctions importantes. Si lors d’un contrôle d’une entreprise, suite à des plaintes de certaines personnes par exemple, la Commission de Protection de la Vie Privée constate des manquements, elle peut infliger des amendes allant jusqu’à 20.000.000 d’euros.

Conclusion

En conclusion, le RGPD s’appliquera à quasi toutes les entreprises publiques et privées dès mai 2018. Il convient donc de se mettre en conformité. Dans cette perspective, il est conseillé de consulter le site de la Commission de Protection de la Vie Privée où le RGPD est présenté et expliqué de manière détaillée. Si une entreprise ne dispose pas des ressources internes pour lancer le processus de régularisation, il est conseillé de faire appel à des prestataires extérieurs spécialisés. Plus d’infos ? RGPD / GDPR … votre association est-elle prête ? Une brochure peut vous aider à mieux comprendre les contraintes nouvelles qui vont s’imposer à nous. Elle a directement inspiré cette note. A découvrir et à lire via ce lien de téléchargement.

Recherche