Saintes : 05 46 74 66 06


La Rochelle : 05 46 41 18 60


protectionTag

Acte Juris > Posts tagged "protection"

Protection des Données Personnelles Les Nouvelles Obligations des Entreprises

 

La loi « Informatique et Libertés » définit les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles. Elle prévoit les droits des personnes dont les données ont été recueillies.

Le nouveau Règlement Général européen sur la Protection des Données personnelles (RGPD), qui remplace ce dispositif, entrera en application le 25 mai 2018.

Il s’impose aux organismes publics et privés (dont les entreprises) qui traitent, manipulent, gèrent ou stockent des données à caractère personnel. Il a pour but de renforcer la législation en matière de protection des données et de l’harmoniser sein de l’Union européenne. Par voie de conséquence il renforce les obligations de ces organismes.

Il prévoit

« Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.« 

« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.« 

 

Une « donnée à caractère personnel » est une information se rapportant à une personne physique identifiée ou identifiable.

On entend par « personne physique » tout individu qui peut être identifié, directement ou indirectement notamment par référence à un identifiant tel qu’un nom, un numéro, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, psychologique, génétique, psychique, économique, culturelle ou sociale.

 

Les entreprises à qui s’appliquent les obligations nées de ce règlement sont multiples, qu’elles soient en nom individuel ou en société, à caractère commercial ou non, à partir du seul moment où elles détiennent un fichier structuré.

Sont donc concernées de multiples activités, comme le commerce, les professions médicales ou para médicales, les salles de sports qui détiennent des données touchant à la santé de leurs adhérents, les agents immobiliers, les entreprises de travail temporaire, les professions du droit et du chiffre, les banques etc.

 

Les 7 principes clés de la protection des données personnelles

 

 

Le principe de finalité :

Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime, correspondant aux missions de l’établissement, responsable du traitement.

Le principe de proportionnalité :

Seules peuvent être enregistrées les informations nécessaires pour leur finalité.

Le principe de pertinence des données :

Les données personnelles doivent être adéquates, pertinentes et non excessives au regard des objectifs poursuivis.

Le principe de durée limitée de conservation des données :

Les données ne doivent être conservées que pour la durée nécessaire à leur exploitation.

Le principe de sécurité de confidentialité :

Le traitement des données personnelles fait reposer sur les entreprises une obligation de sécurité et de mise en œuvre des mesures nécessaires pour : assurer leur confidentialité, éviter leur divulgation ou leur déformation ou encore qu’un tiers, non habilité, n’y accède.

Le principe de transparence :

La loi garantit aux personnes l’information nécessaire, relative aux traitements auxquels sont soumises des données les concernant et les assure de la possibilité d’un contrôle personnel.

Le responsable du traitement de données doit avertir ces personnes, dès la collecte des données et en cas de leur transmission à des tiers.

Le principe du respect du droit des personnes :

Toute personne sur laquelle des données ont été recueillies doit être informée de la finalité du traitement, du caractère obligatoire ou facultatif du recueil des données et des modalités d’exercice des droits ouverts au titre de la loi « Informatique et Libertés’’ et qu’elle peut demander communication de toutes les informations la concernant, contenues dans un fichier, ainsi que le droit de faire rectifier ou supprimer les informations erronées.

 

Le nouveau Règlement Général européen sur la Protection des Données personnelles (RGPD)

entrera en application le 25 mai 2018

Il a pour but de renforcer le droit des personnes, qui pourront plus facilement maîtriser leurs données personnelles, ce qui implique la mise en place, par les entreprises détentrices de ces données, des moyens que cet objectif implique, au plus tard le 24 mai 2018.

 

 

Les 6 étapes de la mise en conformité prévues par la CNIL

 

Pour atteindre cet objectif et respecter la loi, au risque sinon de sanctions qui iront de l’avertissement à l’amende administrative lourde, la CNIL (Commission Nationale de l’informatique et des libertés) invite les entreprises à respecter six étapes.

Désigner un pilote :

Choisi au sein de l’entreprise, il devra procéder au recensement du traitement de données personnelles, par l’élaboration d’un tableau de bord ou d’un registre. Il aura pour mission l’information, le conseil et le contrôle en interne.

Cartographier les traitements des données personnelles :

Le pilote devra recenser de façon précise les moyens de traitements des données personnelles

Prioriser les actions à mener :

À partir du registre, ainsi élaboré, l’entreprise devra identifier les actions à mener pour se conformer aux obligations actuelles et à venir, en les priorisant au regard des risques que font peser ses traitements sur les droits et les libertés des personnes concernées.

Gérer les risques :

Une fois qu’elle aura identifié les traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, l’entreprise devra mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données.

Organiser les processus internes :

Pour garantir la plus haute protection des données l’entreprise devra mettre en place des procédures internes, prenant en compte l’ensemble des événements qui peuvent survenir durant la vie d’un traitement.

La CNIL donne pour exemple les failles de sécurité, la gestion des demande de rectification ou d’accès, la modification des données collectées, le changement de prestataire.

 Documenter la conformité :

La CNIL suggère de constituer et regrouper la documentation nécessaire et de réexaminer et actualiser régulièrement les actions et documents arrêtés à chaque étape, pour assurer une protection des données en continu.

Elle recommande de conserver les justificatifs de la mise en conformité afin, si nécessaire, de prouver la bonne foi de l’entreprise.

Le 24 mai 2018 c’est demain !