Le Règlement Général sur la Protection des Données (RGPD ou en anglais General Data Protection Regulation GDPR) est le nouveau texte de référence européen en matière de protection des données privées. Ce règlement sera applicable à partir du 25 mai 2018 dans l’ensemble des 28 états membres de l’Union Européenne.
Une réforme nécessaire
Ce texte fait suite aux différents scandales sur l’utilisation des données personnelles de certaines entreprises telles que LinkedIn ou Facebook par exemple. Ce nouveau règlement s’impose aujourd’hui comme une nécessité pour répondre aux nombreux enjeux sociétaux sur l’utilisation et la protection des données à caractère privé.
En effet les entreprises collectent de plus en plus de données personnelles et celles-ci ne sont pas forcément protégées, et sont dans certains cas utilisées de manières abusives. Ainsi le RGPD a pour objectif principal d’établir une réglementation européenne unique, adaptée aux évolutions des technologies et protégeant les données personnelles des citoyens européens.
Cette nouvelle réforme poursuit trois objectifs :
- Renforcer les droits des personnes, avec la création d’un droit à la portabilité des données personnelles,
- Responsabiliser les acteurs traitant des données,
- Crédibiliser la régulation par une coopération renforcée entre les autorités de protection des données et par le renforcement des sanctions.
Un changement à préparer
Les changements clés
Les changements concernant le Droit de la personne

Les changements de responsabilités des entreprises
Les entreprises de plus de 250 personnes sont désormais dans l’obligation de tenir un registre de tout traitement effectué sous leur responsabilité. Les TPE et PME bénéficient d’une législation plus souples sous réserve que les traitements ne comportent pas de risque pour les libertés des personnes concernées, et que les traitements ne portent pas sur des données sensibles (pour en savoir plus : Mon entreprise est-elle concernée par la GDPR ?).
De plus, deux nouveaux principes régulent les entreprises. La « Privacy by design » c’est-à-dire la protection des données dès leur conception et la « Security by default » c’est-à-dire la sécurité par défaut. Ces principes obligent les entreprises à considérer la protection des données personnelles directement lors de la conception des produits, services ou systèmes exploitant des données, et leur imposent d’avoir un système d’information sécurisé.
Comment se préparer à la GDPR ?
1. Désigner un pilote
Toute entreprise de plus de 250 personnes est dans l’obligation de nommer un Data Protection Officer (DPO). Cette personne a pour missions d’informer, de conseiller et de contrôler le fonctionnement interne de l’organisation à laquelle elle appartient. Le cas échéant, un prestataire externe peut-être désigné pour ce poste.
2. Cartographier vos pratiques de traitement des données
Il est extrêmement important de documenter toute pratique de traitement de données. Pour cela il faut :
- Réaliser l’inventaire de tous les traitements de données personnelles réalisés dans l’organisation,
- Evaluer et documenter vos pratiques,
- Identifier les risques et prendre les mesures nécessaires à leur prévention,
- Maintenir une documentation assurant la traçabilité des mesures prises.
3. Prioriser les actions à mener
Vous devez ensuite identifier les actions à mener pour être en conformité avec les obligations actuelles. Ces actions doivent être priorisées selon les risques que vos traitements représentent sur les droits et les libertés des personnes concernées. Vos clients doivent avoir connaissance du cadre juridique lié au traitement de leurs données. Cela peut impliquer une mise à jour de vos déclarations de confidentialité, des Conditions Générales d’Utilisation de vos services / solutions, etc.
4. Gérer les risques liés au traitement des données personnelles
Une analyse d’impact sur la protection des données doit être mise en place après l’identification des traitements de données représentant des risques élevés pour les droits et libertés des personnes concernées.
5. Organiser les processus internes
Un haut niveau de protection des données personnelles doit être assuré. Pour cela, il faut mettre en place des procédures internes qui garantissent la prise en en compte de la protection des données à chaque instant et sur l’ensemble des événements qui peuvent survenir pendant un traitement.
Les points suivant doivent faire l’objet d’une vigilance particulière :
- Collectez et traitez uniquement les données nécessaires,
- Identifiez la base juridique sur laquelle se fonde le traitement,
- Vérifiez que vos mentions d’information soient en conformité avec les exigences légales,
- Assurez-vous que vos sous-traitants respectent ces mêmes obligations,
- Prévoyez les modalités d’exercice des droits des personnes concernées.
6. Documenter la conformité
Un dossier prouvant votre conformité au règlement doit être constitué. Ce dossier doit regrouper actions et documents réalisés à chaque étape du processus de traitement des données.
Découvrez notre offre GDPR pour mettre vos plateformes web et / ou vos infrastructures d’hébergement en conformité avec le nouveau règlement européen.
Pour aller plus loin et auditer l’ensemble du système d’information de votre entreprise, nous vous recommandons de prendre contact avec notre partenaire Actecil !

Le guide de la sécurité des données personnelles par la CNIL
Le guide de la sécurité des données personnelles par la CNIL (version pdf)