L’engagement des entreprises à veiller à la protection des données personnelles est un gage de sérieux et de confiance pour leurs utilisateurs. Et si la mise en place de ces mesures peut être compliquée, il est rassurant de savoir que des organisations comme le CNIL sont là pour accompagner la mise en conformité des entreprises.
La protection des données personnelles
En collectant les données personnelles, tout organisme public et privé a l’obligation d’informer les personnes concernées de l’utilisation de ces données et de respecter leurs droits. Qu’il soit le principal responsable du traitement des données ou un sous-traitant, les mesures nécessaires doivent être prises pour garantir la sécurité de la vie privée des individus. A plus forte raison s’il s’agit de données sensibles.
Avant de procéder à une collecte de données, il convient donc pour l’entité de s’assurer de certains points sur la légitimité de sa collecte afin de sécuriser des données :
- la pertinence des informations collectées ;
- la transparence dans la gestion des données ;
- le respect des droits à la consultation, modification et suppression des données par les personnes concernées ;
- la maîtrise et le contrôle des données personnelles en cas de transfert ;
- la capacité à gérer les risques et à sécuriser les informations personnelles détenues.
Toute organisation a donc l’obligation de se mettre en conformité par rapport à la loi RGPD (règlement général sur la protection des données personnelles) dès lors qu’elle a une activité traitant des données.
Cette réforme visant à protéger les libertés des personnes physiques et leur intérêt légitime, certaines mesures techniques sont prises pour renforcer la gouvernance des données à caractère personnel.
Vous en saurez plus chez DPO consulting !
Le principe d’ accountability
« L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données » (définition du CNIL).
Cette obligation vise donc à juger de l’efficacité des dispositions prises pour la protection des données.
Ces mesures de sécurité relèvent du responsable de traitement des données. Grâce à une cartographie du système d’information (avec les données utilisées et stockées par l’entreprise), l’organisation doit être en mesure d’identifier les risques. Il leur faudra donc tenir un registre des activités de traitement
Parmi les mesures techniques du principe d’accountability, nous pouvons citer :
- la pseudonymisation des données ;
- la tenue d’un registre (précédemment évoqué) ;
- la nomination d’un DPO ;
- le respect de la durée de conservation des données ;
- la transparence du traitement ;
Tout manquement à ces obligations pourrait avoir de lourdes conséquences pour l’organisme.
Mise en conformité et sanction
La mise en conformité d’une entreprise, malgré des éventuelles difficultés de mise en place, ne présente pour elle que des avantages. En effet, le premier avantage notable pour l’entreprise est sa protection en cas de problème législatif. Et du point de vue des clients et utilisateurs de ses services, elle pourra acquérir une crédibilité et une légitimité quant à son engagement dans cette politique de protection.
Toutefois, en cas de non respect du niveau de protection des traitements des données, la société mise en cause s’expose à de grosses sanctions. Si la commission nationale de l’informatique et des libertés aident les entreprises et organismes à respecter les obligations du RGPD, c’est également elle qui est chargée de veiller au respect de son application.
Traitant les manquements des responsables de traitements et des sous traitants, son système de sanctions est graduel. Allant de l’avertissement aux amendes, cette autorité de contrôle peut sanctionner sévèrement dans le but de dissuader toute violation du règlement européen.