Actualité

10/04/2018

Intermines
Carrières : RGPD, GDPR, Protection des données : Pour qui, pour quoi, Comment ?

 

Au salon Big Data à Paris en mars 2018, le secrétaire d'Etat au Numérique, Mounir Mahjoubi, a raconté qu'il avait exercé son droit d’accès concernant les données qui le concernaient auprès de Amazon, Google, Facebook et Uber

« Sur les 4, il y en a deux qui l'ont fait extrêmement rapidement, deux avec qui cela a été extrêmement long », a-t-il précisé sans détailler. « J'ai reçu 12 ans de commandes Amazon sur deux CD rom, c'est passionnant ».

« Le jeu de données qui m'a fait vraiment flipper, pour vous dire le mot » est celui d'une « application de transport en voiture » (Uber). Uber avait stocké sans surprise « quatre ans » de tous ses points de départ et points d'arrivée, mais aussi, de manière plus inattendue pour lui, sa position géographique 5 minutes après que la voiture l'a déposée. « Je ne savais pas que j'avais donné mon accord » pour laisser la plateforme stocker cette information, a expliqué le secrétaire d'Etat.

 

Facebook est sur le banc des accusés. Le réseau social est soupçonné d’avoir laissé illégalement exploiter les données de millions de clients à des fins politiques. Mark Zuckerberg, son PDG, est sommé de s'expliquer devant les autorités américaines et européennes.

En mars 2018, la Cnil a mis en demeure le fournisseur d'électricité Direct Energie de revoir ses demandes de consentement pour la collecte de données de consommation via le compteur électrique Linky.

En janvier dernier, la Cnil a prononcé à l'encontre de Darty une sanction de 100 000 euros pour "ne pas avoir suffisamment sécurisé les données de clients" ; en cause une faille dans le logiciel de service après-vente.

 

 Il s’agit là de quelques illustrations de la nécessité pour chacun d’être vigilant :

  • Internautes vigilants :  sur les données personnelles que les services numériques que nous utilisons collectent et utilisent.
  • Entreprises, pouvoirs publics, associations vigilants : sur les données qu’ils recueillent, utilisent et conservent.

 

L’Union européenne a établi et adopté en 2016, le projet de règlement sur la protection des données personnelles (RGPD) qui doit permettre à l'Europe de s'adapter aux nouvelles réalités du numérique.

Ce règlement renforce les droits des citoyens européens et leur donne plus de contrôle sur leurs données personnelles.

Il simplifie les formalités pour les entreprises et leur offre un cadre juridique unifié. Il sera applicable le 25 mai 2018 dans tous les pays de l’UE, pour toutes les sociétés, associations, pouvoirs publics en liaison avec des citoyens européens. Le projet de Loi adaptant le RGPD à la Loi Française est actuellement en cours d’étude par l’Assemblée Nationale et le Sénat (NB échec de la commission paritaire du 6/4 ; les travaux continuent !)

 Que dit le RGPD ?

 

Et pour les Entreprises ? Qu’est-ce que ça change ?

  1. Un renforcement du droit des personnes :
    • consentement express à la collecte, utilisation et conservation de toute données personnelles (notion de private by default du texte européen)
    • Droit à la portabilité
    • Renforcement du droit des mineurs (13 ou 15 ans dans la prochaine Loi française)
  2. Une conformité basée sur la transparence et la responsabilisation :
    • Plus de déclaration préalable
    • Mais un « dossier de conformité » référençant les données personnelles détenues, leurs usages (cartographie des traitements) et les délais de conservation 
    • Une conformité maintenue dans le temps (notion de design by default et d’accountability du texte européen)
    • Un focus sur les données sensibles : origine raciale ou ethnique, opinions politiques, philosophiques ou religieuses, appartenance syndicale, données de santé, génétiques, biométriques et orientation sexuelle)
    • Un focus sur les traitements de profilage
    • Une obligation de sécurité et de notification des violations de données personnelles à la CNIL dans les 72H ; obligation d’information des personnes concernées.
  3. Une co-responsabilité des entreprises et de leurs sous-traitants (notamment informatiques) pour éviter : « J’ai eu une fuite de données mais ce n’est pas de ma faute, c’est mon sous-traitant ! ».
  4. Les transferts de données hors UE doivent être plus encadrés d’un point de vue sécurité
  5. Enfin, des sanctions graduées et renforcées ! Elles pourront aller de l’avertissement à l’amende pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu !

 

Comment s’y prend-on ?

  1. Se mettre en mode projet avec un pilote = le DPO (Délégué à la Protection des Données-Data Protection Officer)
    NB : le DPO est obligatoire pour le secteur public, si les activités de base de l’Entreprise exigent un suivi régulier et à grande échelle de personnes, ou traitent de données sensibles à grande échelle.
  2. Cartographier les données personnelles et les traitements effectués par l’entreprise ; analyser la pertinence de détention et d’usage et les durée de conservation de ses données
  3. Définir le plan d’action de mise en conformité
  4. Organiser et spécifier les processus d’exercice des droit d’accès par les personnes concernées, les déclarations de failles de sécurité et le maintien dans le temps de la conformité
  5. Documenter la conformité : avec la cartographie des traitements, les procédures et les preuves de consentement et d’exercice des droits d’accès.

 

Et le RGPD pour votre association Alumni ?

  • Les associations d’Alumni sont elles aussi concernées par le RGPD
  • Le projet RGPD a démarré au second trimestre 2017
  • Il est mené par Patricia Besset-Veziat, DPO d’Intermines, qui mène également ces projets dans le cadre de ses activités professionnelles.

 

Vous avez une question ? N’hésitez pas à la contacter !

 

Patricia Besset-Veziat (N84)

 

Vue 271 fois
Précédent
Book CV Flash
Suivant
Carrières : Le sens politique en entreprise : Faut-il en avoir ou pas ?

0 Commentaire

Vous devez être connecté pour laisser un commentaire.