Se conformer au nouveau règlement européen sur la protection des données : les mesures à prendre

En France, les entreprises sont soumises à deux réglementations en matière de gestion de données personnelles. D’un côté, elles doivent respecter la loi Informatique et Libertés, et de l’autre, elles doivent se conformer aux règles édictées par la commission européenne. Très prochainement, le Règlement Général sur la Protection des données (RGPD) sera en vigueur. Ce changement fixe de nouvelles normes à connaître absolument.

De nouvelles règles en matière de gouvernance des données numériques

À partir du 25 mai 2018, chaque établissement doit se conformer au RGPD. Ce texte instaurera donc de nouvelles normes de traitement que toutes les entités concernées doivent respecter. D’ailleurs, la commission européenne encourage même les Etats membres à s’aligner aux dispositions de ce texte. C’est pour cette raison que la loi Informatique et Libertés a subi quelques changements à l’approche de l’entrée en vigueur du RGPD.

En substance, ce nouveau règlement européen oblige toutes les entreprises à garantir les droits individuels de chacun. Il s’agit notamment de permettre aux internautes de récupérer leurs fichiers personnels s’ils en expriment l’envie. Dans un autre contexte, il faut également mettre en place un système adapté pour prévenir les éventuels abus. La Commission Nationale de l’Informatique et des Libertés œuvre en tant qu’organe de contrôle. À ce titre, son personnel est habilité à effectuer des inspections inopinées.

Chaque société ou établissement public doit mettre tout en œuvre pour mieux respecter le principe d’accountability. En d’autres termes, il faut absolument créer un registre de traitement. Cette base de données permettra de prévenir l’apparition des points de non-conformité.

Se conformer concrètement au RGPD

Plus concrètement, il faudra commencer par se doter d’un outil de gouvernance des données personnelles. Les administrateurs doivent se procurer un logiciel DPO. Cet outil permettra de tenir un registre de traitement à jour et de sécuriser le workflow. Néanmoins, il est conseillé de se tourner vers un utilitaire certifié par la CNIL. L’utilisation d’un outil de ce type évitera les mauvaises surprises lors des inspections. En effet, les inspecteurs parviendront rapidement à faire la cartographie des traitements et à vérifier le respect des normes en vigueur. Dans certains cas, les autorités de contrôle exigent une cessation momentanée des activités jusqu’à ce que le dirigeant décide d’utiliser un logiciel adapté.

Les sociétés qui se spécialisent dans le traitement des données doivent désigner un Data Protection Officer. Ce professionnel supervise toutes les opérations de mise en conformité. En outre, il collabore avec la CNIL et d’autres structures.