Principales nouveautés du RGPD 1/3

Voici la cinquième vidéo de notre série diffusée sous l’appellation « Hakuna Ma Data – La data privacy sans aucun soucis ».

Pour mémoire dans ces épisodes court format (moins de 5 minutes) nous évoquons divers sujets autour de la protection des données à caractère personnel avec un seul objectif en tête : démystifier ! Thématique du jour, « Principales nouveautés du RGPD 1/3 ».

Premier épisode d’une salve de 3 sur les nouveautés du RGPD, ce règlement venant chambouler un peu la protection des données en Europe. Si vous ne voyez pas du tout de quoi il s’agit, je vous renvoie à la vidéo « la CNIL c’est facile » dans laquelle nous avons fait une rapide chronologie des textes en matière de protection des données.

Programme des 3 vidéos sur le RGPD :

  • 1/3 Principes fondamentaux : principales évolutions, nouveautés ;
  • 2/3 Principaux acteurs des traitements de données : quels impacts pour les responsables de traitement, pour les sous-traitants ;
  • 3/3 Droits des « personnes concernées », c’est-à-dire principalement celles dont les entreprises traitent les données : évolutions et nouveaux droits.

Allez allons-y pour les principes fondamentaux.

Avant le règlement européen, la CNIL nous parlait des principes clés de la protection des données à travers 5 items que vous retrouverez sur son site :

  1. Finalité : toujours traiter des données pour quelque chose de précis, et le dire aux personnes concernées ;
  2. Pertinence : ne traiter que les données nécessaires à la finalité ;
  3. Conservation : limiter la conservation des données à l’atteinte de la finalité ;
  4. Respecter les droits des personnes ;
  5. Garantir la sécurité des données.

Et donc ce que vous deviez faire, en condensé, lorsque vous vous prépariez à mettre en œuvre un nouveau traitement c’était :

  • Vous assurer que le traitement respecte les principes précités ;
  • Effectuer des formalités déclaratives, c’est-à-dire le plus souvent remplir un formulaire de déclaration de traitement sur le site de la CNIL. Et soit dit en passant le fait de déclarer un traitement en ligne n’a jamais valu certification/licéité du traitement. D’ailleurs dans la plupart des cas la CNIL ne consulte pas ces formalités purement déclaratives.
  • A l’occasion d’un contrôle en revanche la CNIL ressortait tout ce que vous aviez rempli sur son site, regardait si, au moins sur le papier, c’était bon ou non, puis pouvait venir creuser un peu plus sur place. Et là il arrivait ce qu’il devait arriver.

Sous l’empire du règlement européen les principes clés évoqués tout à l’heure demeurent. Vous entendrez parler de « minimisation » des données traitées là où parlait plutôt de « pertinence », mais sur le fond tous ces principes demeurent inchangés.

Côté nouveautés, principalement :

  1. Une nouvelle logique de responsabilisation des entreprises avec le quasi abandon de la logique déclarative. On ne veut plus que vous pensiez qu’il suffit de remplir un formulaire sur le site de la CNIL. On veut que les entreprises prennent la pleine mesure de leurs obligations. Pour ça on leur dit en gros « plus besoin de déclarer, on vous fait plus confiance, autorégulez-vous ».
  2. Deuxième nouveauté importante, le principe du « Privacy by design » qu’on pourrait traduire par « confidentialité dès l’origine ». Il s’agit de penser « protection des données » lors de la conception d’un nouveau traitement/outil/application, c’est-à-dire prévoir dès le début et à chaque étape du développement ou à chaque évolution ultérieure d’intégrer tous les dispositifs nécessaires au respect de la loi, c’est-à-dire principalement les 5 principes clés mentionnés plus tôt.
  3. Troisième nouveauté importante – qui par ailleurs est la suite logique du « privacy by design » – le « privacy by default » donc confidentialité par défaut. Très simplement, une fois qu’on a bien pensé « by design » à tous les mécanismes de protection des données nécessaires, il faut les « activer » par défaut pour proposer constamment le niveau maximum de protection des données et les « désactiver » uniquement si nécessaire ou sur demande de l’Utilisateur.
  4. Enfin dernière nouveauté majeure le principe d’accountability. Il n’existe pas de mot équivalent en français mais retenons simplement qu’il s’agit de mettre en place, et actualiser, des mesures techniques et organisationnelles propres à garantir et démontrer votre respect de la réglementation et donc de tous les principes évoqués jusqu’ici.
By | 2018-06-27T13:38:42+00:00 4 avril 2018|Hakuna Ma Data|