NOTIONS CLÉS SUR LE RGPD

Le RGPD (Règlement Général sur la Protection des Données ou GDPR, pour General Data Protection Regulation en anglais), cadre européen réglementaire concernant le traitement et la circulation des données à caractère personnel est entré en application le 25 mai 2018.

L’article 32 précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Une telle approche permet une prise de décision objective et la détermination de mesures strictement nécessaires et adaptées au contexte.

Plusieurs notions clés énoncées ci-après vous permettront de mieux appréhender les contours du règlement :

ACCOUNTABILITY: POUR PASSER DE LA THÉORIE À LA PRATIQUE

Avec la notion dite de « Accountability » (obligation de responsabilité), le RGPD place la protection des données au cœur de la stratégie et de la culture des entreprises.

Le sujet ne peut donc désormais plus être considéré comme un simple numérique mais soulève la question fondamentale de la confiance. Il est également l’occasion de repenser, au plus haut niveau, les modèles économiques autour de la valorisation de la donnée.

Article 24 du RGPD – Responsabilité (Accountability) : « (…) le responsable du traitement met en œuvre des mesures (…) organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. »

Ces mesures comprennent:

DPO : VÉRITABLE CHEF D’ORCHESTRE DU RGPD

Face à l’ampleur et à la récurrence des actions à mener dans des environnements plus ou moins complexes et décentralisés, le DPO (Data Protection Officer traduit en français par Délégué à la Protection des Données) doit s’appuyer sur des outils opérationnels lui permettant d’orchestrer l’application, le suivi et la vérification des règles encadrant le traitement des données personnelles.

Article 39 Du RGPD – Mission du délégué à la protection des données (DPO) :
« Il conseille le responsable des traitements et contrôle le respect du règlement, des réglementations sur la protection des données et des règles internes du responsable du traitement ou du sous-traitant ».

Article 30 Du RGPD – Registre des activités de traitement :
« Chaque responsable du traitement tient un registre des activités de traitements qui décrit notamment les catégories de données à caractère personnel ».

RGPD ET ANALYSE D’IMPACT

Dans le cadre du RGPD, les entreprises doivent mettre en place un dispositif de gestion des risques. L’analyse d’impact fait partie intégrante de ce dispositif. Elle permet de détecter les risques, afin de vérifier s’ils sont acceptables ou non.

Article 35 du RGPD – Analyse d’impact relative à la protection des données :
« Le responsable du traitement doit réaliser une analyse d’impact lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. »

En outre, l’analyse d’impact relative à la protection des données doit « au moins contenir une description du traitement et de ses finalités, une évaluation de la nécessité et de la proportionnalité des opérations de traitement, une appréciation des risques […] et les mesures envisagées pour traiter ces risques et se conformer au règlement » .