BLOG Innovation
Retour
21/05/2018
> Données personnelles
Le RGPD ou la nouvelle redistribution des responsabilités, vos données ont de la valeur (pas seulement économique)
Crédits photo : GERALT sous Creative Commons CC0
ETES VOUS EN CONFORMITE POUR LA PROTECTION DES DONNEES PERSONNELLES DE VOS SALARIES, PROSPECTS ET CLIENTS ?
Entrée en vigueur du règlement RGPD.
Les obligations de mise en conformité qu’impose l’entrée en vigueur du Règlement RGPD ce mois-ci (25/05/2018) et de la future Loi sont contraignantes. Nombre d’entreprises se sont d’ores et déjà attelées à leur mise en conformité avec ces obligations contraignantes. Ces instruments ont été conçus pour une meilleure protection des données personnelles et l’encadrement de leurs usages dénommés « traitements » dans le Règlement RGPD.
Les obligations de mise en conformité qu’impose l’entrée en vigueur du Règlement RGPD ce mois-ci (25/05/2018) et de la future Loi sont contraignantes. Nombre d’entreprises se sont d’ores et déjà attelées à leur mise en conformité avec ces obligations contraignantes. Ces instruments ont été conçus pour une meilleure protection des données personnelles et l’encadrement de leurs usages dénommés « traitements » dans le Règlement RGPD.
Cette protection était déjà prévue par la Loi Informatique et Libertés (1978), toutefois, le cadre avait besoin d’être :
- Précisé : pour ce qui a trait aux responsabilités des différents acteurs. Il s’agit d’une part du Responsable du Traitement (RT) à savoir les entreprises et organismes qui collectent les données des personnes (physiques) à caractère personnel, et d’autre part, les sous-traitants (ST) du traitement de ces données ainsi collectées. Attention, le Règlement prévoit un renversement de la responsabilité sur le sous-traitant. Dans ce contexte, il est tout à fait recommandé que les sous-traitants révisent leurs contrats en cours ou signent de nouveaux contrats avec leurs clients, les RT. Lors de ces négociations, un point essentiel sera que les périmètres de la mission des ST soient précisément délimités (finalités des traitements) afin que l’étendue de leur responsabilité soit claire et nette. A ce titre, ils auraient tout intérêt à couvrir ces risques nouveaux en prenant une assurance responsabilité civile professionnelle spécifique.
- Elargi : à la scène européenne : l’encadrement du traitement des données à caractère personnel ne se fera non plus nationalement mais à l’échelle européenne. Pour autant, les compétences de la CNIL sont étendues à l’entièreté du territoire de l’Union européenne. Elles sont également élargies au contexte digital, compte tenu que l’ancienne loi avait été rédigée à une époque où n’existaient ni Internet, ni les serveurs, ni le Cloud, ni encore les objets connectés.
- Eclairci : désormais, la collecte des données à caractère personnel doit être expressément acceptée et leurs traitements, encadrés dans leurs finalités. Les entreprises devront en permanence et à tout moment, être en mesure de répondre aux demandes d’information :
· Des personnes physiques dont les données ont été collectées, et a fortiori si ce sont celles d’un mineur ou si ces données sont dites « sensibles » ;
· De la CNIL.
Il reste quelques jours aux entreprises pour se mettre en conformité et organiser la mise en pratique de la Conformité (Accountability permanente) qui pèse sur elles.
Nous traiterons régulièrement de cette thématique complexe dans une série d’articles, sous cette forme.
