11 July , 2018

Nouvelle législation sur la protection des données

Avec l’adoption du Règlement général sur la protection des données (RGPD) au printemps dernier, l’Union européenne (UE) bouscule les pratiques courantes de protection des données. En effet, il s’agit d’un modèle pour des pratiques responsables en matière de données dont les entreprises du monde entier peuvent s’inspirer.

Les nouvelles directives renforceront le respect de la vie privée des individus et permettront d’améliorer la mise en œuvre de la protection des données, estime la commissaire à l’Information britannique, Elizabeth Denham. Elles visent également à « susciter la confiance du public ».

Données personnelles et confiance

Une étude menée au début de 2016 a montré qu’un adulte sur quatre seulement est prêt à confier ses données personnelles aux entreprises.

La redevabilité doit être au cœur des dispositifs, a souligné Mme Denham. 

« Il est de votre responsabilité et de celle de votre entreprise de connaître les risques auxquels vous exposez les autres, et de minimiser ces risques », a-t-elle déclaré. Cela implique d’investir dans la protection de la vie privée dès le départ.

« Où que vous soyez dans le monde, les éléments clés d’une bonne législation en matière de protection des données sont les mêmes : le droit des consommateurs de savoir comment leurs informations sont utilisées, la transparence des entreprises et leur obligation de rendre des comptes. »

Pour les pays membres de l’UE, le RGPD remplacera la loi actuelle sur la protection des données à caractère personnel et entrera en vigueur en 2018.

La nouvelle législation s’étendra aussi au-delà des frontières de l’UE, car elle s’appliquera à tous les pays ou toutes les entreprises qui traitent avec un des pays membres.

Les dispositions du Règlement Général sur la Protection des Données
L'obligation d'obtenir le consentement explicite

avant de pouvoir utiliser les données d’une personne, les entreprises doivent obtenir son consentement explicite. Elles doivent également se doter d’un cadre juridique pour la conservation et le traitement de données personnelles. 

L'obligation du droit à l'oubli

le « droit à l’oubli » signifie qu’une personne a le droit d’obtenir que ses données personnelles soient corrigées ou effacées des systèmes si elles sont inexactes ou obsolètes.

Amendes plus élevées en cas de non-respect de la législation

les entreprises qui ne respectent pas les nouvelles dispositions encourent une amende sévère pouvant s’élever à 4 % de leur chiffre d’affaires annuel. 

Leadership dans la protection des données

la sécurité de l’information nécessite un bon leadership. Certaines entreprises (en fonction de leur taille) devront désigner un délégué à la protection des données. Celui-ci doit veiller à la mise à jour des serveurs, systèmes et protocoles, ainsi que de la protection des données dans l’entreprise.

La transparence dans l'utilisation des données

l’utilisation des données par les entreprises doit être plus transparente. Des politiques et des procédures internes de protection des données doivent être en place. Les entreprises doivent pouvoir montrer comment elles se mettent en conformité avec la loi : grâce à quels mécanismes, quelles politiques et quels systèmes.

Notification rapide en cas de violation des données

toute violation de données doit être signalée dans un délai de 72 heures après la constatation des faits. Les violations de données et les enquêtes doivent être documentées. La destruction ou l’altération délibérée de données constituent une violation et un vol (les procédures de notification devraient faire partie d’un Plan d’intervention global en cas de fuite de données.)

Obligation de destruction des données à leur expiration

les entreprises devrontsupprimer les donnéesdès qu’elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, ou si la personne retire le consentement accordé à l’entreprise pour détenir ses données. La méthode de référence du secteur est un service de destruction sécurisé professionnel, comprenant des interventions à intervalles réguliers, tant pour les données papier que pour les données numériques.