Règlement Général sur la Protection des Données (RGPD) : 3 impacts pour votre collectivité
16 Oct

Règlement Général sur la Protection des Données (RGPD) : 3 impacts pour votre collectivité

Le Règlement Général sur la Protection des Données (RGPD) du 15 juin 2016 vient sécuriser et compléter deux lois très importantes dans le domaine de l’informatique et des données numériques. La loi Informatique et libertés du 06 août 2004 et la loi pour une République numérique dite loi « Lemaire » du 07 octobre 2016.

Ce règlement européen qui entre en vigueur le 25 mai 2018, abroge la directive européenne 95/46/CE et permet à l’Europe de s’adapter aux nouvelles réalités du numérique.

Quel est le fondement du RGPD ?

Ce règlement permet d’une part d’harmoniser les règles entre membres de l’union européenne, et d’autre part de leur permettre de s’adapter aux nouvelles réalités du numérique.

Il vise notamment les géants du net comme Facebook, Amazon, Google, Apple, etc., qui collectent et détiennent des données personnelles de millions d’abonnés.

Il entend, pour répondre au Patriot Act, protéger les données de l’Union européenne où qu’elles se trouvent, y compris en dehors de l’UE.

Le règlement européen permet au citoyen de disposer d’informations complémentaires sur le traitement de ses données, de les obtenir sous une forme claire, accessible et compréhensible, et traite donc de son droit d’accès et de rectification. Le droit à l’oubli est conforté et un nouveau droit, le droit à la portabilité, est prévu, rendant ainsi plus effective la maîtrise de ses données par la personne. Les mineurs font également l’objet d’une protection particulière.

Pour les entreprises et administrations, il accentue le besoin de recensement, de contrôle et de protection des données personnelles gérées, avec de fortes amendes à la clé (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires). Il oblige les entreprises à notifier leurs violations de données personnelles non seulement à la CNIL mais aussi aux personnes dont les données ont été piratées.

Juste un texte de plus ?

Alors que la directive de 1995 reposait en grande partie sur la notion de « formalités préalables » (déclaration, autorisations), le règlement européen repose sur une logique de conformité, dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur.

Une clé de lecture : la protection des données dès la conception et par défaut (privacy by design)

Les responsables de traitements devront mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. Concrètement, ils devront veiller à limiter la quantité de données traitée dès le départ (principe dit de « minimisation »).

Afin d’assurer une protection optimale des données personnelles qu’ils traitent de manière continue, les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (accountability).

Quels impacts pour votre collectivité ?

1/ Le premier impact et le plus visible concerne l’obligation de désigner un Délégué à la Protection des Données (DPO), là où la désignation d’un CIL (Correspondant Informatique et Libertés) était facultatif. Le rôle de ce DPO sera beaucoup plus large que celui du CIL, dont la mission est de tenir un registre des traitements automatisés de données personnelles de leur organisme, procéder aux déclarations nécessaires, et faire un bilan annuel au responsable de traitement. Le DPO peut être mutualisé.

2/ Le DPO devra être dans l’action, avoir une feuille de route priorisée et une méthodologie :

  • Etre impliqué dès la conception des projets ;
  • Procéder à la cartographie des données personnelles et des traitements / processus ;
  • Préconiser une sécurité et confidentialité adaptée ;
  • Contrôler périodiquement la conformité ;
  • Engager des actions pour la vérifier (audits d’intrusion, etc.) ;
  • Faire des analyses d’impact, de mesure des risques ;
  • Notifier des violations dont a été victime la collectivité.

3/ Il y aura lieu de renforcer les clauses contractuelles avec les sous-traitants, éditeurs, etc. : maîtriser sa politique sécurité ne peut se faire sans contrôle des actions des sous-traitants.

DPO mutualisé, la solution privilégiée ?

COGITIS, comme les autres collectivités, devra mettre en place un DPO pour ses propres besoins.

Comme le précise la CNIL, le DPO peut être mutualisé et nous voyons un intérêt commun à la mutualisation de cette fonction.

COGITIS peut accompagner votre collectivité dans cette démarche, ainsi que plus largement sur l’ensemble des volets liés à la sécurité informatique (méthodologie, audit, plan d’actions, élaboration de PRA/PCA…). N’hésitez pas à nous contacter sur ce sujet.

RGPD : Etes-vous prêt ?

Télécharger les annexes à cette note d’information sur le RGPD :

  • Description détaillée des travaux à effectuer
  • Synthèse : se préparer en 6 étapes

Information RGPD – Annexes (pdf 184kb)

Cet article ainsi que ses annexes ont été réalisés par COGITIS en s’appuyant principalement sur les documents et informations disponibles sur le site de la CNIL.

Hugues MARTINVotre contact :

Hugues MARTIN, chef du service Conseil & Expertise

Tél. 04 67 16 18 49 – hmartin@cogitis.fr

Les commentaires sont fermé

0 Partages
Partagez
Tweetez
Partagez