RGPD : Un règlement européen

Le Règlement général sur la protection des données, communément appelé RGPD, est le texte européen de référence en matière de protection des données personnelles. Applicable depuis le 25 mai 2018 sur l’ensemble du territoire européen, il vise à renforcer la protection en matière de données personnelles.

Le cadre réglementaire fixé par RGPD permet ainsi : d’assurer la transparence de garantir les droits des personnes concernées de responsabiliser les entreprises dans le traitement des données personnelles.

Le RGPD s’applique par défaut à tout organisme public ou privé (entreprise, associations, administration publiques) qui se situe sur le territoire de l’Union Européenne, mais peut également s’appliquer pour des entreprises situées en dehors de l’UE sous certaines conditions.

Privacy by Design : La protection des données dès la conception

L’actualité relative aux données personnelles révèle de plus en plus les fuites massives de données. Pour éviter cette problématique, le principe de Privacy By Design, littéralement la protection dès la conception, prend de plus en plus d’importance en tant que pratique saine pour le traitement et le stockage des données personnelles.

Qu’est ce que le Privacy By Design ?

Ce principe implique pour chaque entreprise de réfléchir en amont aux mesures de protection mises en œuvre pour chaque traitement et en fonction de la nature de la donnée traitée.

Ces mesures sont des mesures techniques et organisationnelles permettant d’une part d’être en conformité au RGPD et d’autre part, de garantir la protection de la vie privée des personnes concernées.

L’entreprise se place ici dans une approche préventive.

Pour aller plus loin – Comment mettre en œuvre le principe de Privacy By Design ?

Le Privacy By Design s’articule autour de 7 principes :

  • Prendre des mesures préventives de façon proactive afin d’éviter les violations de données personnelles : prévoir et prévenir les incidents d’atteinte à la vie privée avant qu’ils ne se produisent
  • Prévoir une protection par défaut de la vie privée c’est-à-dire une protection automatisée et implicite : cette protection se présume et doit être automatique sans que la personne concernée n’ait besoin de l’exprimer ou de s’en assurer elle-même. Cette protection est connue sous le nom de Privacy by Default et est prévue à l’alinéa 2 de l’article 23 du RGPD.
  • Protection de la vie privée dès la conception des systèmes et des pratiques de l’entreprise : autrement dit, il faut intégrer la protection de la vie privée dans l’architecture du système d’information dès le départ et lui prévoir des fonctionnalités à cet égard.
  • Assurer la protection pendant toute la période de conservation des données personnelles : autrement dit toutes les mesures nécessaires doivent être mises en œuvre pour assurer cette protection tout au long de la conservation de sorte à assurer la destruction des données au terme de la conservation
  • Assurer une protection intégrée de la vie privée : dans ce cas de figure il faut à la fois assurer une protection de la vie privée tout en tenant compte des intérêts légitimes et objectifs poursuivis par l’entreprise.
  • Respecter la vie privée des utilisateurs : les intérêts des personnes concernées prévalent et l’entreprise dans sa conception de projet doit prendre ses intérêts en amont conformément aux réglementations relatives à la vie privée.
  • Assurer la visibilité et la transparence des pratiques de l’entreprise : chaque élément intégré aux systèmes lié à la protection des données personnelles doit rester visible et transparent en cas de vérification. Cela permet d’instaurer un climat de confiance. Le principe de Privacy By Design doit être pris en compte à chaque changement dans l’organisation de l’entreprise (nouvelle technologie traitant des données personnelles par exemple).

Découvrez comment Data Legal Drive vous aide à respecter le principe d'accountability

Le principe d'accountability est au coeur de la plateforme. Avec DATA LEGAL DRIVE, vous pouvez à tout moment prouver à vos prestataires, collaborateurs et autorités de contrôles votre bon respect des données personnelles, et vous assurer d'être privacy by design.

En savoir +

PIA : Analyse et prévention des risques

Le Privacy Impact Assessment, aussi appelé PIA, est une analyse d’impact sur la protection des données.

Auparavant traduite en Etude d’Impact sur la vie privée (EIVP) par la CNIL, le PIA est désormais consacré par le RGPD. 

Qu’est ce qu’un PIA RGPD ?

L’analyse d’impact est un outil permettant de responsabiliser les organismes sur leurs traitements de données personnelles. Précisément, il s’agit d’une analyse des risques de sécurité visant uniquement les données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées.

Quels sont les traitements qui nécessitent un PIA RGPD ?

L’article 35 et la CNIL dressent une liste non exhaustive des traitements pour lesquels la réalisation d’un PIA est obligatoire :

  • Les traitements à grande échelle
  • La surveillance systématique
  • Les décisions automatiques produisant des effets juridiques
  • Le traitement de données sensibles
  • L’évaluation ou la notation basée sur des données personnelles, y compris le profilage et la prédiction
  • Le traitement de données biométriques, de données relatives à des infractions et condamnations pénales
  • Des traitements relatifs à des technologies nouvelles / technologies innovantes.
  • En cas de croisement de données

Le PIA est obligatoire seulement si deux critères précités sont remplis.

Les autorités de contrôle locales, CNIL pour la France, se réservent le droit d’étendre la liste des traitements nécessitant une analyse d’impact.

Cas d’usage

Votre entreprise souhaite mettre en place un système de contrôle des emails sortant de la messagerie, scannant les emails afin de détecter des fuites d’informations confidentielles en provenance de vos employés. Votre DPO est alerté et recommande la conduite d’un PIA. En effet, un tel système consiste en un traitement répondant à au moins deux critères : surveillance systématique et utilisation de technologies innovantes.

De quelle manière réaliser un PIA RGPD ?

D’une part, c’est au responsable de traitement qu’incombe la réalisation du PIA. L’analyse d’impact doit être effectuée en amont de la mise en œuvre du traitement.

Plusieurs méthodes existent pour réaliser un PIA et la CNIL a publié un guide disponible directement sur son site.

En résumé, un PIA consiste à décrire l’ensemble de la justification juridique du traitement et l’ensemble de ses conséquences négatives potentielles pour les personnes concernées. Si les risques pour les personnes concernées sont trop important, il convient de mettre en place et décrire des mesures permettant d’atténuer ces risques. Ce n’est que si les risques sont faibles que le traitement pourra être mis en œuvre.

RGPD : Les 7 facteurs-clés de réussite