Mois du numérique par les Digiteurs : l’apport du RGPD pour la protection des données
Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est entré en application. Pour leur dernier atelier du mois du numérique, le 21 juin 2018, les Digiteurs de la CCI des Hauts-de-Seine (92) ont abordé la question de la cybercriminalité et de l’apport de cette nouvelle législation. Rémi Tingaud, juriste d’entreprise Europe Network, explique ce qui va changer concernant la protection des données et le droit des personnes.
DR
Le Règlement général sur la protection des données (RGPD) est le nouveau cadre européen, entré en vigueur le 25 mai 2018. Cela concerne principalement les organismes qui s’appuient sur ces données pour proposer des services et produits. Désormais, ils sont tenus à une obligation légale d’assurer la sécurité de celles qu’ils détiennent. Dans le cadre du mois du numérique, un business café a été organisé, le 21 juin dernier, par les Digiteurs, à la CCI des Hauts-de-Seine, afin de mieux appréhender les enjeux de ce nouveau règlement.
Avec une cybercriminalité en hausse depuis quelques années, le vol de données est un risque majeur pour les entreprises. Cela peut avoir un impact financier important et peut être très mauvais pour leur image. Durant la matinée, Sophie Bordenave, responsable marketing Orange, est intervenue afin de prévenir des risques dans ce domaine. « Chez Orange, nous avons une filiale consacrée à la cyberdéfense. Nos solutions vont des TPE, PME, jusqu’aux grands comptes. Nous avons des solutions pour détecter et traiter la menace, protéger, archiver de façon sécurisée, restaurer les données, géolocaliser, verrouiller à distance… », énonce-t-elle. De nombreuses entreprises font ainsi appel à des spécialistes afin de garantir la gestion du risque, réclamé par le RGPD.
En effet, les sanctions prévues par le règlement sont plutôt dissuasives et peuvent aller de l’interruption du traitement à de lourdes amendes financières. Pour l’Union européenne, les objectifs sont de garantir la préservation des droits de chacun sur ses données personnelles, homogénéiser la législation au sein de chaque pays membre et responsabiliser chaque individu en ce qui concerne le traitement des données sensibles. Rémi Tingaud, juriste en droit européen des affaires et protection des données personnelles à la CCI Paris Ile-de-France, a ainsi évoqué les principales obligations qu’entraîne l’application du RGPD.
Les Petites Affiches
Qu’est ce que la mise en place du RGPD va apporter ?
Rémi Tingaud
En France, nous avons la loi informatique et libertés de 1978. Au niveau européen, nous avions une directive datant de 1995, mais il a fallu adapter la réglementation aux évolutions technologiques et aux échanges des données de plus en plus fréquents, notamment avec les réseaux sociaux. Principalement, le RGPD a un impact sur le droit des personnes qui est renforcé : droit d’accès, modifications, effacement, droit à la portabilité. Les personnes doivent être informées sur les données qui sont collectées, à quelle fin, qui y a accès et combien de temps elles sont conservées. Il y a de nouvelles obligations pour toutes les entreprises qui effectuent un traitement de données. Potentiellement, elles sont toutes concernées, car le traitement de données à une définition assez large, cela peut impliquer le stockage, la collecte, le transfert, la modification de toutes données personnelles…
LPA
Qu’en est-il de la sécurité des données, en cas de cyberattaque, par exemple ?
R.T.
D’abord, les entreprises ont l’obligation d’informer la Cnil (Commission nationale de l’informatique et des libertés) dans les 72 heures à compter de la faille de la cyberattaque. Il y a de nombreuses nouvelles règles comme le respect d’un cahier des charges et la traçabilité et confidentialité des données. Deux principes, notamment, imposent de traduire les contraintes juridiques du RGPD en contraintes techniques pour assurer la sécurité des données. C’est le principe de « privacy by design », où chaque nouvelle technologie traitant des données personnelles doit garantir dès sa conception le plus haut niveau possible de protection des données. À cela s’ajoute le principe de « privacy by default », qui oblige quiconque traite des données personnelles de garantir, par défaut, la plus grande protection des données possible. Le but est d’assurer une meilleure réactivité face aux cyberattaques pour les entreprises, que ce soit en termes de temps ou d’efficacité.
LPA
Est-ce un moyen de plus pour responsabiliser les entreprises qui traitent des données personnelles ?
R.T.
La responsabilisation des entreprises est renforcée, car il n’y aura plus de contrôle a priori. Avant, les entreprises devaient déclarer leur traitement auprès de la Cnil. Aujourd’hui, les entreprises doivent documenter tout leur process de mise en conformité au RGPD, à travers plusieurs types de documents, dont notamment le registre des activités de traitement, chartres de bonnes conduites… Les contrôles se feront désormais a posteriori et la Cnil se basera sur ces documents. De plus, en cas de violation de données à caractère personnel, les entreprises n’ont pas l’obligation de prévenir leurs clients sauf si la Cnil les y oblige ou dans le cas où la violation impliquerait un risque élevé pour les droits et libertés des personnes.
LPA
Comment faire pour se mettre en conformité avec la nouvelle réglementation ?
R.T.
La première chose est de faire un audit en interne de ses besoins et de ce que le RGPD change pour l’entreprise. Il faut commencer par identifier les données qu’elle collecte, par quel biais, comment elle les conserve et ce qu’elle peut faire pour les protéger. Ensuite, ça peut-être la rédaction d’une bibliothèque de documents types liés au RGPD, par exemple des formulaires de contact lorsque les personnes veulent utiliser leurs droits ou des mentions à faire apparaître en fin de newsletter, etc. Elles peuvent également faire appel à un Data Protection Officer (DPO) qui est le chef d’orchestre de la mise en conformité, et qui s’assure notamment que le responsable de traitement respecte la réglementation sur les données personnelles, va l’informer sur ses obligations et l’accompagner dans sa mise en conformité.