Protection des données personnelles : tous concernés par le RGPD - Stratinnov

Protection des données personnelles

tous concernés par le RGPD

L'équipe au complet STRATINNOV/CIBLE BLANCHE DESIGN

Le RGPD ou GDPR pour  » General Data Protection Regulation  » a été conçu de manière à accroître la protection des données personnelles des citoyens européens.
À dater du 25 mai prochain, toutes les entreprises traitant ce type de données seront dans l’obligation légale de se soumettre aux différentes dispositions qui régissent ce règlement, sous peine de devoir payer de fortes amendes.

En quoi consiste le RGPD ?

Le RGPD, comprenez Règlement Général sur la Protection des Données, est une nouvelle réglementation européenne qui entrera officiellement en vigueur le 25 mai 2018.
Cette réglementation consiste à renforcer auprès des entreprises, les dispositifs de sécurité relatifs au traitement des données à caractère personnel ainsi qu’à la libre circulation de ces informations.

Toutes les entités détenant des informations personnelles identifiables sur les citoyens européens sont donc concernées.
Les entités installées en dehors du territoire de l’Union européenne doivent également s’y soumettre.

Mais pourquoi une telle réglementation ?

Le Règlement Général sur la Protection des Données a été créé avec deux objectifs précis.
Le règlement général vise dans un premier temps à harmoniser les législations relatives au traitement des données personnelles des 26 états membres de l’Union Européenne.
Dans un second temps, la réglementation doit apporter des avancées majeures en matière de protection.

Ces changements sont entre autres :

  • le droit de chaque citoyen d’accéder aux données le concernant,
  • le droit à l’oubli,
  • le consentement clair et explicite,
  • la création de notification obligatoire dans le cas d’une atteinte aux données,
  • la mise en place de protection spéciale pour les enfants ainsi que le droit à la portabilité.

Quelles sont les dispositions à appliquer ?

En ce qui concerne la sécurisation des données personnelles, le RGPD prévoit le déploiement de 4 mesures principales qui consistent :

  • À mettre en place un système de chiffrement afin de garantir une sécurisation optimale des données pendant leur traitement ;
  • À garantir la disponibilité, l’intégrité, la confidentialité et la résilience des systèmes tout comme des services ;
  • À autoriser le rétablissement de la disponibilité ainsi que de l’accès aux données ;
  • À organiser des audits, et ce, de manière régulière.

Si, malgré toutes les protections mises en œuvre, une violation des données personnelles s’est produite, l’entreprise a l’obligation légale :

  • D’en informer l’autorité de contrôle, dans les 72 heures suivant la prise de connaissances des faits ;
  • D’en informer également la ou les personnes visées.

Attention, à partir du 25 mai prochain, le non-respect des mesures citées expose les organisations au paiement d’une amende administrative, pensée pour être  » proportionnée  » et  » dissuasive « . Le calcul de l’amende se fait en fonction de différents paramètres tels que la nature et la gravité de l’infraction, le nombre de personnes concernées par les fuites de données, les mesures déjà prises en vue de limiter les éventuels dommages, les catégories de données concernées ainsi que la coopération manifestée par l’entité pour remédier rapidement au problème. En fonction de chaque cas, sa valeur peut représenter jusqu’à 4 % du chiffre d’affaires de l’entreprise concernée.

De nouvelles règles mais aussi des enjeux stratégiques pour l’entreprise

Au-delà de la contrainte réglementaire, le RPGD peut être le support à des enjeux stratégiques :

Des enjeux d’Image :

Le RGPD peut être considéré comme un enjeu stratégique pour l’entreprise d’un point de vue marketing, au sens de l’Image de Marque. En effet, il peut intervenir comme levier pour renforcer le capital confiance vis-à-vis des parties prenantes de l’organisation (clients, prospects, partenaires, salariés, etc.).

(Voir services BRAND-MK, concernant le travail de votre positionnement et image de marque)

Des enjeux d’intelligence économique et stratégique :

La sécurité économique constitue l’un des piliers de l’intelligence économique en particulier la sécurité et la protection de l’information. Le RGPD peut ainsi être vu par une organisation comme le moment opportun de mobiliser des ressources et moyens pour renforcer sa sécurité en prenant en considération la valeur des données comme actif stratégique du patrimoine immatériel de l’entreprise.

Dès lors, que cela soit d’un point de vue marketing ou intelligence économique, la prise en compte du RGPD et la mise en conformité de son organisation (SI, processus internes, juridique, etc.) est susceptible de constituer un véritable avantage concurrentiel sur son(es) marché(s).

Vous trouverez ci-contre un mémento édité par la CNIL, regroupant l’ensemble des étapes indispensables à la mise en conformité de votre structure.

Quelques terminologies officielles :

« Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un indentant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

« Traitement » : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

« Violation de données à caractère personnel » :  une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données

Articles récents

2018-02-20T15:52:13+00:00