RGPD (2/3) : Ce qui change

En France, Le règlement européen RGPD a été intégré dans la loi française en mai 2018. Il vient se substituer à la Loi Informatique et liberté, initialement promulguée en 1978. Nous allons voir les principaux changements apportés.

L’Europe

Le règlement concerne les données personnelles des citoyens européens, où qu’elles soient. Une partie importante de ce règlement concerne d’ailleurs le transfert de données hors Europe, classe les pays hors UE en fonction de leurs pratiques, et encadre les transferts vers ces pays. A noter que les USA, en raison de la récente loi « cloud act », ont été exclus de la liste des pays « adéquats », ce qui ouvre la voie (théoriquement) à des procédures strictes envers les réseaux sociaux majeurs.

Le D.P.D. ou D.P.O.

Le poste de Délégué à la Protection des Données (Data Protection Officer en anglais) succède à celui de Correspondant Informatique et Liberté de la précédente loi. Son rôle est accru, ses responsabilités élargies, et surtout, alors que le C.I.L. n’était obligatoire que dans les grandes organisations, un D.P.D. doit être nommé même dans les petites structures, à partir du moment où des données sensibles (données de santé par exemple) sont manipulées. Heureusement, le D.P.D. peut être une personne morale externe, il n’est pas nécessaire de recruter une personne à temps plein.
(Voyez notre offre de D.P.D. externalisé.)

La Documentation

Là où l’ancienne loi imposait des déclarations et des demandes d’autorisations à la CNIL, qui est l’agence publique en charge de ces dossiers, le nouveau règlement fait la part belle à la documentation. Les organisations doivent donc tenir à jour des registres, cartographies, rapports etc. afin de les produire en cas d’incident, de conflit ou de contrôle.

La confidentialité

Enfin, si le règlement prévoit une certaine tolérance pour les systèmes existants, il est impératif que les nouveaux projets soient mis en place en intégrant, dès leur conception et par défaut, des mesures de confidentialité pour les données personnelles manipulées. Cela vaut pour les projets informatiques, les matériels, logiciels et infrastructures utilisés, mais aussi pour toutes les procédures internes à l’entreprise.

Bon à savoir : L’entreprise est responsable des données confiées et manipulées par ses fournisseurs et sous-traitants. C’est un bon moyen de remettre en question les contrats d’achat, dans un objectif de bonnes pratiques.

Vous voulez une vision plus détaillée du RGPD ? Contactez-nous !