Le Règlement européen pour la protection des données a pour ambition de garantir la protection des données à caractère personnel d’une part en responsabilisant les entreprises quant aux traitements de données qu’elles opèrent et, d’autre part, en renforçant les droits des personnes afin que ces dernières puissent mieux maîtriser leurs données.
En effet, le renforcement de la protection des données à caractère personnel se traduit dans le règlement européen par la sensibilisation des responsables de traitement et des sous-traitants. Le texte du règlement présenté par la Commission européenne a donc opté pour une approche dite « par les risques », contrairement à la Loi informatique et Libertés. Cette nouvelle approche fait naître l’obligation de mettre en place une gouvernance des données personnelles garantissant la protection des données : l’on parle d’« accountability ». En contrepartie, les déclarations et autorisations effectuées auprès de la Commission nationale Informatique et Libertés deviendront l’exception.
Dans cette optique, les entreprises devront rédiger une politique générale de la protection des données qui sera le socle de la gouvernance.
Ce document décrira les moyens permettant d’assurer le respect de la protection des données personnelles.
Il définira notamment :
Les principes de protection des données dès la conception ou de protection des données par défaut (privacy by design/by default) nés du RGPD, vont dans la logique d’une documentation de la conformité du traitement des données personnelles, puisqu’ils imposent aux responsables de traitement d’anticiper, dès la conception d’un produit ou d’un service, le respect de la protection des données par la mise en place de mesures techniques et organisationnelles.
Le responsable de traitement devra, dans ce cadre, tenir compte du principe de minimisation des données en s’assurant que les données collectées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, mais aussi respecter les règles de durée de conservation afin de pouvoir purger les données concernées le moment venu. Il devra veiller aussi à la conformité du recueil du consentement.
Les entreprises ont aussi l’obligation de sécuriser les données afin de garantir leur confidentialité et leur intégrité notamment par le maintien en condition opérationnelle de leur système d’information. Cette sécurisation peut aussi passer par des techniques de chiffrement, par une politique d’habilitation pour avoir accès à certaines données. Par exemple, les données relatives à la santé sont des données dites sensibles qui nécessitent des mesures de sécurité particulières.
Il faut noter que le règlement impose une obligation de notifier les failles de sécurité à la CNIL et de notifier ces mêmes failles aux personnes concernées dans la mesure ou la violation serait susceptible d’engendrer un risque élevé d’atteinte à leurs droits et libertés.
La protection des données se traduit aussi dans le règlement par un renforcement du droit des personnes. Il s’agit notamment du droit à la portabilité de ses données, du droit à l’oubli et du droit de demander la suppression de ses données.
Votre numéro de téléphone est uniquement utilisé pour nous permettre de vous rappeler. Pour en savoir plus sur la gestion de vos données dans le cadre de la gestion du suivi de notre relation précontractuelle et contractuelle, ainsi que sur vos droits, vous pouvez consulter notre politique de confidentialité.