Il ne reste plus que quelque mois pour que les entreprises se mettent en conformité au RGPD ou règlement général sur la protection des données. En effet, depuis le mois de mai 2016, ce règlement est entré en vigueur et décrète de nouvelles règles concernant la gestion des données personnelles.
Cette mise en conformité implique ainsi des changements sur les contrats des fournisseurs. Le RGPD s’applique en fait « au traitement des données à caractère personnel », que ce soit en partie ou en entier. Il concerne également le « traitement non automatisé des données », toujours à caractère personnel, mais contenu ou qui est désignées à paraître dans un fichier.
En quoi consiste une donnée à caractère personnel ?
Le RGPD concerne toute entreprise dans le domaine de traitement de données ou encore sous-traitant, et ce, quelle que soit sa structure, qui possède un établissement dans l’UE. Le règlement s’applique également aux sociétés qui proposent un service ou un bien qui cible les personnes se trouvant sur le sol de l’Union européenne. C’est aussi le cas des actions de profilage qui visent ses cibles. Le problème le plus fréquent est que les entreprises n’arrivent pas à déterminer ce que c’est réel les données à caractère personnel. Eh bien, selon le RGPD, c’est l’ensemble des informations qui concerne une personne physique distinguable, que ce soit de manière directe ou indirecte. Les numéros de téléphone ainsi que les identifiants font également partie de ce genre de données. C’est aussi le cas des données comportementales réunies en ligne, particulièrement celles qui sont collectées en cours d’une action marketing de profilage. En effet, si ces derniers sont joints à une identité, ils peuvent changer en données à caractère personnel. En fonction du traitement apposé aux données, il est possible de rendre des informations non identifiantes en données totalement identifiantes. En général, c’est le cas lors d’un traitement par croisement des renseignements rassemblés.
Les obligations de l’entreprise vis-à-vis du RGPD
Avant, la loi informatique et liberté se fondait sur du déclaratif initial et des expertises ponctuelles. Le RGPD quant à lui doit prouver à tout moment que la société protège les données. C’est pour cette raison que la structure des outils servant à collecter les données et les contrats de l’entreprise avec ses clients et ses fournisseurs sont touchés par le changement. En gage, l’entreprise peut déjà commencer par souscrire à une assurance cyber risque RGPD qui donnera aux clients et fournisseurs la tranquillité d’esprit. De plus, ils pourront continuer à faire confiance à l’entreprise sur ses intentions sur la protection de leur donnée. Il est également important que les entreprises introduisent un nouveau principe et concept qui optimise la précaution technique. Elles sont dans l’obligation aussi de fournir la finalité de la collecte des données. Le nouveau règlement de l’Union européenne impose par ailleurs le principe de conservation limitée des données. C’est aussi le cas pour la coresponsabilité des sous-traitants et des entreprises en ce qui concerne la protection des datas. Un des grands changements imposés par le RGPD est la nomination d’un DPO ou délégué à la protection des données. Il est indispensable dans tout secteur, que ce soit public ou privé faisant des traitements de données qui impliquent un suivi régulier et systématique des personnes à une échelle importante.