Protection des données personnelles : de nouvelles obligations

L’essentiel

En pratique, les obligations déclaratives (déclarations et autorisations) actuelles auprès de la Commission Nationale Informatiques et Libertés (CNIL) disparaissent au profit d’une logique de « mise en conformité » dont les principaux instruments sont :

• la tenue d’un registre des traitements de données personnelles
• la notification de failles de sécurité à la CNIL et aux personnes concernées.

Les données personnelles sont définies comme toute « information se rapportant à une personne physique identifiée ou identifiable », y compris par croisement de données.Il s’agit d’un champ très large : nom, prénom, date et lieu de naissance, formation et diplômes, numéros de passeport et de sécurité sociale mais aussi adresse IP, témoins de connexion (cookies) ou encore numéro d’adhérent et de client.

La protection doit être assurée en fonction de la finalité de chaque traitement de données personnelles.

Il devient urgent pour les entreprises de se préparer à la mise en œuvre du règlement, notamment au regard des lourdes sanctions prévues par le RGPD (amende jusqu’à 20 M€ ou 4% du chiffre d’affaires annuel mondial).

la CNIL et la Banque publique d'investissement ont mis à disposition un guide et des fiches pratiques plus particulièrement destinés aux PME/TPE le 17 avril 2018.

Les  principaux éléments de mise en conformité au RGPD  sont les suivants :

• Vérifier que le traitement de chaque donnée personnelle est licite et qu’il repose sur un fondement juridique
• Tenir des registres en fonction des finalités de chaque traitement (personnes concernées, données nécessaires au traitement, durée de conservation légale ou nécessaire, personnes pouvant accéder aux données,…) et assurer un niveau de sécurité approprié.