Accompagnement RGPD : L’Europe se dote d’une législation du numérique
Le nouveau règlement européen sur la protection des données personnelles, dit RGPD (Règlement Général de la Protection des Données) ou GDPR (General Data Protection Regulation) paru au journal officiel de l’Union européenne entrera en application le 25 mai 2018. Pour l’Europe, l’adoption de ce texte pose un cadre légal à la réalité du numérique, lui permettant ainsi d’y rentrer pleinement.
Le numérique n’a pas toujours été une priorité en Europe. Ces dernières années, l’appréhension de la protection des données personnelles s’est installée dans l’opinion publique suite aux différentes affaires d’espionnage et de piratage. Face à cela, la considération des nouveaux enjeux du numérique fut extrêmement tardive. La législation autour de la protection des données se contentait de quelques textes de lois nationaux avec de fortes disparités de traitement. Jusqu’à présent, la loi n°78-17 du 6 janvier 1978 « relative à l’informatique et libertés », révisée en 2016, régissait la législation sur l’informatique en France.
Une nécessité d’encadrer légalement le numérique
L’explosion des données collectées est bien là, il est devenu illusoire de tenter de les mesurer chaque jour. Notre quotidien tourne autour de cette digitalisation avec toujours plus de services accessibles d’un simple clic. Les données que nous communiquons sur nous, dont souvent des données personnelles comme notre nom, notre email, notre âge, foisonnent de façon exponentielle. Les principaux coupables de cette désinhibition sont les réseaux sociaux. Et la tendance ne va pas s’arrêter, les nouvelles technologies comme l’Internet Of Thing (IOT) ou le Big Data ont ouvert la voie à une collecte de données massive entièrement automatisées. A titre d’exemple, le vol de plus d’un milliard d’adresses emails Yahoo de 2013 établit un nouveau record.
La réponse de l’Europe, le RGPD : Compétences et champ d’action
La GDPR (General Data Protection Regulation) apporte une réponse autour de la protection des données personnelles. Via ce texte, l’Europe responsabilise l’ensemble des acteurs du numérique. Ce texte abroge la directive 95 /46 du 24 octobre1995 à partir de Mai 2018. S’agissant d’un règlement, son effectivité est immédiate. Le texte définit clairement la notion de donnée personnelle comme un renseignement personnel permettant d’identifier directement ou indirectement une personne physique. Les données physiques, physiologiques, culturelles et sociales d’un individu sont directement concernées.
Le champ d’application territorial du texte est l’Union Européenne, le texte s’applique dès lors que « l’établissement » du responsable du traitement ou du sous-traitant effectue un traitement de données personnelles d’un citoyen européen. Concernant la notion d’établissement dans la RGPD : « l’établissement suppose l’exercice effectif et réel d’une activité au moyen d’un dispositif stable. La forme juridique retenue pour un tel dispositif, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard ». Le texte peut ainsi s’appliquer en dehors des frontières de l’UE dès lors que le responsable du traitement est établi hors UE mais que ses activités de traitement sont liées à « l’observation du comportement de ressortissants de l’Union Européenne ». La RGPD (Règlement Général de la Protection des Données) précise les droits des citoyens vis-à-vis des sociétés qui traitent leurs données personnelles.
- Le droit d’être informé,
- Le droit d’accès,
- Le droit à l’effacement,
- Le droit de rectification,
- Le droit de restreindre le traitement,
- Le droit à la portabilité des données,
- Le droit de ne pas être soumis à la prise de décision automatisée, y compris le profilage.
Différents moyens existent afin de se conformer à la législation à venir. Désigner un pilote pour cartographier les traitements de données personnelles. Prioriser les actions afin de pouvoir mieux gérer les risques ou encore organiser les processus internes afin de pouvoir informer. Trois axes sont visés dans cette préparation. Le Juridique avec l’évaluation des risques, le Métier pour le recensement des traitements sur les données personnelles collectées et l’Informatique pour la sécurisation des données personnelles.
Le texte prévoit également la mise en place d’un délégué à la protection des données au sein des entreprises. Celui-ci peut être un collaborateur désigné pour ce rôle ou un une personne tierce à l’entreprise embauchée. Dans le secteur public il est obligatoire, il le devient dans le secteur privé lorsque les activités de l’entreprise concernent des activités de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier des personnes concernées. (Exemple : des données sensibles et relatives à des infractions pénales). Tenu par une obligation de confidentialité, le rôle du délégué est d’informer et conseiller les entités et acteurs sur les obligations qui leur incombent en matière de protection des données. Il est aussi l’intermédiaire avec la CNIL. (Commission nationale de l’informatique et des libertés).
La nouvelle réglementation européenne accroit considérablement les sanctions. Plafonnée à 150 000 euros début 2016, la loi sur la République Numérique avait révisée l’amende maximale à 3 000 000 d’euros. Le GDPR va plus loin et prévoit des sanctions pouvant atteindre 4% du Chiffre d’affaires de l’entreprise plafonnées à 20 millions d’euros.
Dès à présent, chaque société se doit de se préparer. Pourtant, nous sommes face à un retard, aujourd’hui seulement ¼ des entreprises en France sont conformes au nouveau règlement.
HR Path est à vos cotés
Afin de faciliter la transition vers la nouvelle législation, HR Path vous accompagne dans votre mise en conformité avec le RGPD (Règlement Général de la Protection des Données).
- Les évolutions organisationnelles : dédiées à l’audit de l’existant, revue des traitements de données, évaluation du plan de mise en conformité, accompagnement au changement organisationnel, …
- Les évolutions techniques : analyse SIRH, revue des DCP, mise en place de l’archivage / suppression automatique, gestion de la confidentialité, anonymisation des traitements…