Le RGPD : ce qui vous attend en 2018
La production de la donnée suit un rythme effréné à présent, surtout avec l’explosion du numérique et de la bulle Internet. Quelques minutes seulement suffisent, pour produire plus de 200000 Tweets, des millions de SMS et de mails, sans oublier les données archivées sur Facebook et les informations qui circulent sur Google.
Le moindre pas sur le net, nécessite de fournir des données personnelles au point que leur quantité sur la toile dépasse l’imagination. Ces données peuvent être fournies en totale conscience par l’internaute : nom, email, adresse, numéro de carte bancaire, etc… mais il y a aussi d’autres données personnelles qui « trainent » sur le net, souvent récupérées implicitement et qui sont relatives à la navigation de l’utilisateur : pages consultées, comportements sur Internet, temps passé en ligne, etc…
Ces données qu’on livre quotidiennement sur le net sont-elles en sécurité : ne peuvent-elles pas être dévoilées ? Qu’en est-il des réglementations en place qui régissent les pratiques des entreprises qui collectent quotidiennement nos données personnelles ?
En moyenne, un français possède 100 comptes en ligne et 85% des français sont préoccupés par leurs données personnelles[1]. Récemment, l’AFDIT[2] a tenu un colloque où ces problématiques ont été mises en avant et débattues. L’objectif étant de de discuter de la mise en œuvre du « Règlement Général sur la Protection des Données » et comment les entreprises doivent s’y conformer :
« Les données personnelles, qui font partie de la vie privée, sont particulièrement impactées par l’évolution technique. L’Europe a pris conscience de cette situation et a voté un Règlement en Avril 2016. Un délai de 2 ans a été donné pour s’adapter. Cela concerne tout le monde : associations, entreprises, collectivités et particulièrement ceux qui utilisent des données personnelles de façon systématique ou importante dans le cadre de traitements. » explique Nicolas Courtier – Avocat spécialisé dans le droit de la propriété intellectuelle et des NTIC et membre de l’AFDIT.
Le RGPD va entrer en vigueur en Mai 2018, le compte à rebours a commencé et toute entreprise qui collecte des données personnelles sur les individus doit s’y conformer et préparer sa mise en œuvre.
RGPD : quésako ?
En vue d’encadrer l’exploitation des données personnelles et de rassurer les internautes quant à l’avenir de ces données sur le Web, l’Union Européenne a conclu un nouveau Règlement Général sur la Protection des Données. Ainsi, toute entreprise opérant au sein de l’Union Européenne, devra s’en tenir et appliquer les normes en place.
Le RGPD exige en premier lieu à toute entreprise opérant au sein de l’UE ou ayant des clients ressortissants de l’UE de stocker et traiter toutes les données personnelles qu’elle récolte en Europe (il peut tout de même exister une exception, si la personne en question est consentante quant au fait que ses données seront stockées en dehors de l’UE).
Une deuxième obligation est que les données personnelles stockées ne doivent pas dépasser la période de rétention convenue et doivent être protégées selon des protocoles conformes aux normes. Les responsables de traitement ou les sous-traitants doivent suivre une procédure claire afin de mettre en place un système technique et organisationnel adapté pour assurer la protection des données personnelles face aux risques potentiels.
De ce fait, le RGPD exige des normes de sécurité pour les organisations allant recourir à des fournisseurs de services Cloud et des fournisseurs des technologies de protection des données. Ces solutions doivent se conformer aux obligations suivantes :
- Avoir une visibilité sur le lieu de stockage des données (l’entreprise peut choisir de stocker ses données sur site ou dans un datacenter conforme aux normes en vigueur).
- Assurer le chiffrement des donnéeset protéger les informations personnelles.
- Pouvoir consulter les données stockées : la personne doit avoir accès à ses données.
- Donner le droit de rectification à la personne concernée.
- Permettre le droit à l’oubli dans le cas où la personne souhaite la disparition de ses données.
- Assurer la portabilité des données grâce à un export de données.
- Pouvoir récupérer facilement les données en cas d’incident.
- Garantir une protection des données contre les attaques.