Le règlement général sur la protection des données (RGPD) ou en anglais, General Data Protection Regulation (GDPR) s’impose désormais depuis le 25 mai 2018. C’est la date fatidique qui fut annoncée pour contraindre l’ensemble des acteurs concernés à se mettre en conformité avec cette loi européenne d’une ampleur inégalée.

La protection des données à caractère personnel est en effet, un enjeu majeur pour tout le monde.

L’affaire Facebook qui a ébranlé le monde entier récemment, a sans doute démontré encore un peu plus, l’urgence pour chaque personne de connaître la destination et l’utilisation de ses données personnelles.

Le règlement général sur la protection des données fixe le cadre

Par données personnelles, le règlement général sur la protection des données entend pointer tout ce qui trait à votre vie privée. Il peut s’agir de votre patronyme, de votre date de naissance, du lieu où vous résidez, de votre situation de famille, de votre plaque d’immatriculation, de votre matricule en entreprise, de votre numéro de sécurité sociale, de votre numéro de carte bleue, de vos convictions syndicales, religieuses ou politiques, etc. Comme vous venez sans doute de le remarquer, la liste certes longue ne l’est pas en réalité.

Tous les jours, des milliers de données sont traitées à de nombreuses occasions par des milliers d’acteurs.

Le règlement général sur la protection des données encadre les risques d’une mauvaise utilisation.

L’étique conduirait tous les acteurs concernés à protéger inconditionnellement les données personnelles. Le problème, c’est que tout le monde n’est pas toujours très transparent.

Le règlement général sur la protection des données intervient donc dans cette perspective. C’est au moins la garantie que les droits des personnes physiques seront respectés lorsqu’il s’agit d’informations personnelles les concernant. Chaque personne est propriétaire des données qui le regarde. Chacun doit pouvoir savoir à quoi seront-elles destinées une fois recueillies pour quelque motif que cela soit.

À toutes les étapes de sa vie, des milliers d’entreprises, de collectivités, d’administrations, collecte des données pour répondre aux besoins des citoyens dans le monde et dans la zone euro.

Tous les pays sont concernés. Le règlement général sur la protection des données intervient pour réguler notamment la protection de toutes ces informations en Europe. Les utilisateurs doivent être informés par ces structures commerciales, publiques, politiques, associatives, syndicales et autres, de l’utilisation qui sera faite des données personnelles. Pour cela, il y a 6 principes destinés à les protéger. Ainsi, le consentement des personnes physiques devra être clair et non équivoque.

Comme c’est souvent le cas et notamment pour les transactions en ligne, une indication claire doit être précisée au consommateur, à l’intéressé quant à ce qui sera collecté et traité par l’entreprise.

Celle-ci doit en expliquer très objectivement l’utilisation qu’elle entend en faire. La personne doit pouvoir librement donner son consentement ou le refuser. C’est un droit inaliénable lie à la propriété de ses données personnelles. Aussi, le 2nd principe aboutit à renforcer le droit à l’information quant au traitement des données collectées sur accord des personnes.

Chacun doit comprendre la portée de ce traitement pour être en mesure d’en déterminer les risques présents et futurs pour lui-même et pour les autres.

Les entreprises et autres personnes morales devront investir le champ de la protection des données en mettant rapidement des mesures appropriées. Elles peuvent être de toutes natures. La plupart du temps, il y aura un effort à produire quant à la sécurisation des données personnelles collectées informatiquement. C’est en substance ce que vise tout particulièrement le règlement général sur la protection des données.

Précision de l'auteur

Parmi les autres principes régis par le règlement général sur la protection des données, il y a l’accès et la portabilité des données.

Sont également cités, les pratiques offrant la possibilité aux personnes d’intervenir en rectification de leurs données personnelles voire à leur suppression définitive. Dans la chaîne des responsabilités, il y a également le cas des sous-traitants à ne pas négliger.

Le règlement général sur la protection des données implique plus

Depuis de nombreuses années, les obligations tenant à l’exploitation des données personnelles n’ont fait que croître. La Commission nationale de l’informatique et des libertés (CNIL) a contribué à cette rigueur juridique. Le règlement général sur la protection des données intervient comme une surcouche applicable de la même façon partout en Europe. Le RGPD vient homogénéiser des règles propres à chaque pays avec les déséquilibres que cela engendrait en fonction des politiques nationales.

Les mesures apparaissent comme plus équilibrées.

Parmi celles-ci, la naissance du DPO – Data protection officer ou DPD – délégué à la protection des données (remplaçant en France, du CIL – ex-Correspondant Informatique et Libertés). Sa désignation ne s’impose pas nécessairement à toutes les entreprises. Le DPO ou DPD peut donc être désigné facultativement le cas échéant.

Pour savoir si l’entreprise est tenue d’en désigner un, il faut s’en remettre à ses pratiques.

En effet, par défaut, les entreprises concernées par cette obligation sont celles dont l’activité principale conduit à traiter à grande échelle des données sensibles. Les différents cas de désignation sont en particulier précisés dans le RGPD afin d’aider les entreprises à faire le tri.

Conseil d'Expert

Dans tous les cas, l’urgence désormais porte moins sur la mise en conformité de l’entreprise que sur la pérennisation de cette dernière.

Le DPD ou DPO devra engager une masse de travail indissociable des obligations qui pèsent sur les entreprises en matière de protection des données personnelles. En effet, il devra entre autres s’informer sur les nouvelles obligations en lien avec sa mission, accompagner les décideurs des mesures à mettre en œuvre pour respecter leurs obligations dans le cadre du RGPD, de piloter les actions de mise en conformité des processus internes à l’organisation, etc.

Le DPD ou DPO intervient à tous les niveaux pour in fine garantir le respect du RGPD par l’entreprise dans toutes les étapes de sa croissance

Comment choisir son DPD ou DPO ?

Il n’existe pas de profil type du délégué à la protection des données. Toutefois, il ne peut pas s’agir d’une personne dénuée de compétences, d’éthique ou de morale. Par ailleurs, afin d’éviter tout conflit d’intérêts, la personne retenue ne doit pas exercer des activités parallèles pouvant contrevenir à ses obligations intrinsèques à la mission de DPO ou DPD. Notons que ce métier central ne peut pas être exercé par un membre de l’équipe dirigeante de l’entreprise.

En effet, le DPO ou DPD doit être délié de toute obligation native de telles fonctions.

Il disposera ainsi d’une réelle autonomie lui offrant la possibilité d’adopter le point de vue qui lui semble correspondre à l’étude d’un point en matière de protection des données personnelles. Proche de l’équipe dirigeante, il devra néanmoins s’en distinguer pour rester le plus objectif au possible.

Dédié à manipuler des informations sensibles, le choix du DPO ou DPD doit être scrupuleux.

La personne sélectionnée doit être rompue au droit relatif à la protection des données et disposer d’une réelle expertise en la matière. Le DPO ou DPD est pressenti pour être le chef d’orchestre de toute cette nouvelle législation afin de coordonner l’ensemble des actions nécessaires à la protection des données.

Formation

Il existe désormais des formations entièrement tournées vers le rôle et les missions du DPO ou DPD. Cette formation permet de maîtriser l’ensemble des enjeux sous-jacents au RGPD.

Le DOP ou DPD apprendra notamment à opérer l’inventaire des risques en interne comme en externe et recensera les failles. Il apprendra à réaliser une analyse d’impact sur la protection des données. À toutes les étapes de la formation, l’apprenant visualisera de mieux en mieux, la place qu’il doit tant prendre et occuper que défendre afin de garantir une quasi-infaillibilité quant à la protection des données à caractère personnel.

Le règlement général sur la protection des données est devenu un enjeu majeur pour toutes les entreprises. Il implique une prise de conscience rapide et une vigilance de tous les instants.