Sécurité des données : comment appréhender le RGPD ?

sécurité des données

Avec le nouveau règlement européen sur la sécurité des données personnelles, c’est une vraie révolution qui s’annonce dans la manière de traiter les données personnelles. Que l’on parle d’obligation d’information notamment sur la notification des failles de sécurité, de « privacy by design », d ’« accountability » ou de votre capacité à démontrer votre conformité, de traitement de données marketing ou encore de portabilité des données… il vous faudra absolument maîtriser cette nouvelle manière de gérer les données dès la conception de vos projets pour être aux normes en 2018.

Des sanctions qui se durcissent

La Cnil ne relâche pas le rythme des contrôles et des sanctions portant sur l’obligation de sécurité. Les dernières décisions à l’encontre des sociétés OUICAR et HERTZ le démontrent bien. A deux jours d’intervalle, et pour des faits similaires, la CNIL a prononcé cet été deux sanctions bien différentes : un avertissement public et une amende administrative de 40 000 €. Avec la loi pour la République numérique et demain avec le Règlement européen, les sanctions se durcissent !

Le responsable de traitement doit pourtant être en mesure de prouver que la sécurité mise en place pour le traitement est bien adaptée à celui-ci, conformément aux principes d’Accountability et de Security by Design (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données – RGPD- article 32.3).

Or, les obligations liées à la sécurité sont vastes et complexes. Selon le RGPD en son article 32, les données doivent être traitées de façon à garantir leur sécurité, ce qui comporte la prise de mesures techniques ou organisationnelles appropriées, y compris pour protéger les données contre leur traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts, même d’origine accidentelle.

Quels sont les objectifs ?

On comprend que des mesures doivent donc être prises et des procédures mises en place principalement pour :

Garantir un niveau approprié de sécurité des données et de sécurité informatique 
Crypter les données sensibles traitées, ou les sécuriser d’une autre façon
Gérer les droits d’accès aux outils informatiques
Assurer les connexions entre les outils et mesurer les risques des flux de données à travers les outils
Prévoir des PIA 
Inclure la « Privacy by design » pour tout nouveau projet impliquant des données à caractère personnel 
Repérer les violations de données et en assurer un suivi conforme au RGPD 
– En cas de violation de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, informer de cette violation (1) la Cnil sous 72h et (2) le cas échéant la personne concernée dans les meilleurs délais. L’information doit être présentée dans des termes clairs et simples.

Sur qui pèse la mise en place de ces procédures ? Qui doit les rédiger ? La Cnil va-t-elle publier des recommandations ou des guides précis ? et le G29 ? Comment appréhender les obligations de sécurité qui pèsent sur les responsables de traitement, et demain sur les sous-traitants ?

En assistant à la journée de formation sur le RGPD qui aura lieu le 12 octobre 2017, nous vous proposerons d’éclaircir ces points et de vous donner les clés pour répondre à ces interrogations de plus en plus pressantes à l’approche du 25 mai 2018 !

Pour en savoir plus, découvrez le programme de notre conférence « Règlement européen sur les données personnelles » qui aura lieu le 12 octobre prochain à Paris.

 

Yaël Cohen-Hadria
Avocat au Barreau de Paris
Cabinet Cohen-Hadria

Intervenante lors de notre conférence EFE « Règlement européen sur les données personnelles » qui aura lieu le 12 octobre prochain à Paris

Laisser un commentaire