Le suivi et le contrôle des traitements de données personnelles sont aujourd’hui de rigueur, que ce soit en entreprises, en établissements publics, ou encore en associations. En effet, les données personnelles sont des données très sensibles, et donc les établissements traitant ces données sont menés à suivre des règles et des restrictions très strictes à leur propos. C’est la plus grande raison qui a poussé l’Union Européenne d’instaurer une règlementation visant à protéger de manière optimale les données personnelles des résidents et citoyens européens. Il s’agit du Règlement Général sur la Protection de Données ou RGPD.
Données personnelles
Pour appréhender ce qu’implique la nouvelle loi RGPD européenne, il est intéressant de savoir de prime abord la définition de ce qu’est une donnée personnelle. En fait, une donnée personnelle ou donnée à caractère personnel constitue toute information en relation avec une personne, et qui est capable de permettre son identification, notamment le nom, l’adresse, la photo, le numéro de téléphone, le numéro client, le numéro de passeport ou d’identité, etc. La protection des données personnelles de ce genre des citoyens et résidents européens est assurée par le RGPD. Cette loi s’applique lors de collectes, utilisations, transformations ou cessions de données personnelles, sur le numérique et sur papier. Alors, chaque organisme dans l’Union Européenne et acteur de traitement de données est soumis aux obligations dictées par le RGPD. Et même si un organisme est établi hors du territoire de l’Union Européenne, et qu’il traite des données personnelles de citoyens européens, il est tenu de respecter ces obligations. Pour connaître un peu plus sur ce règlement, visitez le site www.dpms.eu.
Les obligations
Le règlement général sur la protection de données prévoit des règles qui concernent les deux parties : pour les traitants de données, il y a des obligations à appliquer, qui incluent surtout d’être honnête, méticuleux, transparent, et juste dans le traitement de données. Il leur est formellement interdit de traiter les données dans d’autres fins différentes aux fins prévues. Si les traitants violent le RGPD, ils sont sévèrement sanctionnés par des amendes exorbitantes prévues par la Commission Nationale de l’Informatique et des Libertés, dont l’acronyme est CNIL. De plus, le RGPD stipule que la désignation d’un DPO ou délégué à la protection de données est obligatoire pour certains organismes, surtout ceux qui traitent les données à grande échelle comme les collectivités territoriales par exemple. La loi RGPD prévoit également des droits qui sont attribués aux propriétaires de données personnelles. Il s’agit des droits de consentir ou de refuser le traitement de leurs données, puis les droits de voir, de modifier et de supprimer ces données. Les titulaires ont aussi le droit de faire un suivi de l’utilisation de leurs données personnelles. Ils ont aussi ce que l’on appelle le droit à l’oubli, qui inclut que leurs données doivent être supprimées passé un délai précis.
Préparations
Divers changements sont à prévoir au sein de l’organisme afin de se conformer au RGPD. Comme la désignation d’un DPO est fortement recommandée, voire même obligatoire, il faut prévoir l’embauche de ce DPO. Le DPO peut être interne à l’entreprise, c’est-à dire qu’il fait partie de son personnel et de ses salariés, ou encore externe à l’entreprise, et donc offrant ses services en tant que consultant externe. Ce DPO sera chargé de veiller à ce que le RGPD soit bien appliqué au sein de l’entité. À cet effet, il effectue le suivi du processus de traitement, et aussi assure le bon contrôle des responsables de traitement. À part cela, le DPO est aussi chargé de conseiller et de former l’entreprise, c’est-à dire son personnel, en ce qui concerne la protection de données. Pour atteindre ce but, il est nécessaire pour l’entreprise d’acquérir des logiciels RGPD, et c’est le DPO qui sera chargé de former les différents équipes à leur utilisation. L’organisme doit également prévoir un système de classement et de tri des données personnelles. Les logiciels RGPD sont les plus adéquats à ces effets.
