French

La nouvelle règlementation européenne (GDPR) impose aux organisations, quelle que soit leur taille, le respect de deux obligations majeures : la protection des données personnelles qu’elles possèdent sur les personnes (clients, prospects, partenaires…) et le respect des droits de ces personnes (type de traitement, légitimité du traitement, accès, rectification, effacement…).

Si le second point (droits des personnes) découle finalement d’une collecte de données rationnelle et justifiée dans la plupart des cas (traitements légitimes), la seule raison « marketing » va par contre se voir malmenée par ces nouvelles règles, le consentement jusqu’ici présumé (par exemple en matière de cookies) devenant dès lors une exigence (double « opt-in » imposé sur les formulaires). On ne pourra plus récolter n’importe quoi sur n’importe qui et chaque demande d’information devra être justifiée. De plus, la personne concernée aura un droit de regard tout au long du cycle de vie de ses données auprès de l’organisation. De quoi bouleverser le fonctionnement de pas mal de sites e-commerce, entre autres.

Le premier point, quant à lui, va susciter une sérieuse remise en question pour les départements participants à la collecte et à l’utilisation des données personnelles. En effet, la protection des données va se révéler plus compliquée :

  • pour les accès aux données de « production » : l’augmentation des cyberattaques et autres violations de données représente pourtant une menace suffisamment réelle et plausible pour motiver la mise en place de protocoles de sécurité régulièrement actualisés.
  • pour des utilisations des données hors « production » telles que des transferts, des copies au sein d’une entreprise (ou vers ses sous-traitants), environnement généralement sans grande sécurité.

Mais qu’est-ce qu’une donnée personnelle, concrètement ?

D’après la règlementation, « toute donnée ou information relative à une personne physique », une donnée, ou un ensemble de données, permettant d’identifier (ou de réidentifier) la personne.

La règlementation européenne définit différents niveaux de sensibilité selon le type de données : données générales, données de santé, biométriques, etc. La détention de données classées dans des sensibilités fortes impose la mise en place d’études spécifiques des risques pour les droits des personnes concernées (P.I.A. : Privacy Impact Assessment).

Les traitements des données

Il existe de multiples raisons pour la collecte, et de multiples utilisations des données ainsi obtenues. Chaque département de l’organisation a des besoins spécifiques (facturation, marketing, contrats, analyse…) et il ne s’agit pas de mettre un frein à la productivité des entreprises, mais plutôt de responsabiliser tout un chacun (utilisateurs) afin de protéger l’existence numérique des « utilisés ».

Car le traitement des données englobe naturellement le traitement des données personnelles, et c’est là que vient s’imposer le respect de la règlementation européenne.

schéma traitement données

Avez-vous votre DPO ?

Pour rappel, tout organisme public ou traitant des données à grande échelle doit désigner un délégué à la protection des données qui sera le responsable à partir du 25 mai 2018 vis-à-vis des clients du respect de leurs droits. Ce DPO devra :

  1. avoir une vue exhaustive de l’ensemble des données personnelles gérées par l’entreprise
  2. informer et transmettre aux personnes les données qui les concernent
  3. répondre aux demandes des personnes en termes de modification ou de suppression des données
  4. s’assurer de la légalité des données collectées par l’entreprise

Il devra avoir un droit de regard sur les mécanismes de protection, sur la légitimité des traitements. Il sera la personne de contact pour les clients ayant des demandes au sujet de leurs données personnelles et également pour l’autorité de contrôle nationale (CNIL, Commission Vie privée…).

La GDPR est un enjeu majeur pour toutes les organisations basées eu Europe; traitée intelligemment, la nouvelle règlementation est une opportunité indéniable pour qui voudra en tirer profit.

Rever a développé plusieurs outils destinés à aider à la mise en conformité avec la GDPR, notamment avec notre partenaire ActeCil.

gdpr white paper banner

Mots clés: 

Auteur(s): 

Muriel Adamski