La nouvelle loi RGPD (règlement général sur la protection des données) est entrée en vigueur le 25 Mai dernier et sonne la fin de nombreuses pratiques impactant l’ensemble des entreprises européennes.
Entretien avec Julien Faure (responsable infogérance chez « eenov’it » à Bordeaux).
FCA: Tout d’abord, qu’est-ce que le RGPD et en quoi les entreprises françaises sont-elles concernées ?
JF: La RGPD est le Règlement Général pour la Protection des Données, c’est le texte de référence européen qui encadre et unifie la protection des données à caractère personnel, elle concerne donc tous les états membres de l’union européenne. Elle a été adoptée le 14 avril 2016 par le Parlement européen et ses dispositions rentreront en application le 25 mai 2018.
eur-lex.europa.eu
Bien évidemment, il faut d’abord se pencher sur la notion de données à caractère personnel, elle est définie dans le chapitre 1 article 4 du texte :
Aux fins du présent règlement, on entend par:
1) «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
De manière plus synthétique, on entend par données personnelles, toute information permettant l’identification directe ou indirecte d’une personne physique. Cette notion est très proche de celle que nous connaissions déjà, définie dans la loi Informatique et Libertés
Pour les entreprises françaises, cela implique :
- La désignation d’un pilote, c’est l’équivalent du référent CNIL
- Le recensement des données personnelles utilisées par l’entreprise
- L’organisation d’un plan d’action pour se mettre en conformité
- La gestion des risques sur l’utilisation de ces données
- L’organisation des process internes
- La documentation de la conformité au règlement
- La CNIL met à disposition des livrets blancs permettant de détailler ces étapes : https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
FCA: Avant l’arrivée de cette réglementation, qu’elles étaient les dispositifs mis en place en France pour la protection des données ?
JF: Le principal dispositif est pour le moment la loi informatique et liberté de 1978. Ce dispositif, bien connu des entreprises françaises est géré par la CNIL et concerne aussi la protection des données personnelles, elle a, entre autres, servi de base pour construire la RGPD. La CNIL a d’ailleurs été créée dans le cadre de cette loi.
FCA: Avec le RGPD, on parle beaucoup du CNIL. Quel a été son rôle dans l’instauration de cette loi ? et plus généralement ?
JF: Les CNIL de chaque pays ont effectivement participé à l’élaboration de la RGPD, elles serviront ensuite d’agents afin d’accompagner et contrôler les entreprises de chaque pays européen. Dans le cadre de la RGPD, la CNIL garde les mêmes missions qu’auparavant : accompagner, informer, contrôler, sanctionner. La RGPD renforce le pouvoir coercitif de la CNIL, cependant, il semble qu’elle laissera aux entreprises le temps de se mettre en conformité.
lesechos.fr
FCA: Comment se préparer au RGPD ? Des outils sont-ils disponibles ? Si oui, lesquels et où les trouver ?
JF: La Cnil met à disposition des outils juridiques et de mise en conformité pour accompagner les entreprises, cependant, ils ne constituent qu’une ligne directrice. En suivant ces bonnes pratiques, chaque entreprise pourra identifier ses traitements de données personnelles et appliquer la réglementation.
cnil.fr
Concernant les outils informatiques, les bonnes pratiques restent de mise et nécessitent une bonne vision du système d’informations. Vous pourrez vous faire aider par vos prestataires pour améliorer votre sécurité et la manipulation de données personnelles. Les grands axes sont :
- La sensibilisation des utilisateurs
- La protection du parc informatique
- La protection de vos sites internet et leurs mises en conformité quant à la collecte de données (cookies, data tracking, etc…)
- La sauvegarde des données
- Le plan de continuité de l’entreprise
Aucun outil ou aucune marque n’est recommandé tant qu’ils assurent la sécurité de votre entreprise de vos données.
FCA: De quelle(s) façon(s) les entreprises seront-elles contrôlées ?
JF: C’est encore une fois la Cnil qui sera en charge des contrôles auprès des entreprises, rien ne change par rapport au cadre actuel de la CNIL, elle ne fera qu’appliquer la nouvelle réglementation.
cnil.fr
FCA: Le 25 Mai représente la date officielle, mais que se passe-t-il pour les entreprises ayant préalablement effectué une analyse d’impact pour les traitements ?
JF: Le 25 mai ne représente pas un couperet pour les entreprises, il est évident au vu du chantier de la RGPD que les entreprises vont mettre du temps pour être à 100% conforme. Comme dit dans l’interview de la présidente de la CNIL, les entreprises auront droit à une période de grâce pour se mettre en conformité.
Pour les entreprises ayant déjà commencé à faire une étude d’impact, ils pourront dès le 25 mai commencer leur déclaration auprès de la Cnil.
FCA: Peut-on imaginer que dans l’avenir, les entreprises françaises devront faire face à davantage de réglementations ? Et mise à part la protection des données, vers quels autres secteurs du web et de l’informatique devons-nous nous attendre à de nouvelles normes ?
JF: La technologie va toujours plus vite que la réglementation, les cas Uber ou Facebook (Cambridge Analytica) en sont des exemples récents. Le législateur se trouve donc souvent en posture de réaction face au fait accompli, le monde politique devra donc de plus en plus anticiper les nouvelles pratiques issues du monde numérique, dans un souci de transparence et de protection des citoyens. Des chantiers sont ou seront bientôt entrepris, on pense à la carte d’identité numérique, la sécurisation des échanges, les monnaies virtuelles etc…
(Entretien du 20 Mai 2018)