RGPD : quelques mois pour se mettre en conformité !

Le nouveau r&egrave;glement g&eacute;n&eacute;ral europ&eacute;en sur la protection des donn&eacute;es personnelles (RGPD) [1] , en anglais General Data Protection Regulation (GDPR), instaure de nouvelles exigences beaucoup plus contraignantes pour les organisations, avec de lourdes sanctions &agrave; la cl&eacute;. Le chantier de mise en conformit&eacute; semble laborieux pour les entreprises qui craignent de ne pas &ecirc;tre pr&ecirc;tes &agrave; la date fatidique d&rsquo;entr&eacute;e en vigueur du r&egrave;glement, soit le 25 mai 2018. Plusieurs &eacute;tudes sur le sujet en t&eacute;moignent : une enqu&ecirc;te KPMG du 23 mai 2017 sur les impacts du RGPD r&eacute;v&egrave;le que 67 % des entreprises estiment qu&rsquo;elles ont encore un important effort &agrave; fournir, une &eacute;tude du 3 mai 2017 du cabinet Gartner pr&eacute;voit quant &agrave; elle qu&rsquo;&agrave; la fin de 2018, plus de 50 % des entreprises concern&eacute;es par le RGPD ne seront pas pleinement conformes &agrave; ses exigences. Cependant, Isabelle Falque-Pierrotin, la pr&eacute;sidente de la Cnil avait pr&eacute;venu, lors de la pr&eacute;sentation du rapport d'activit&eacute; 2016 le 27 mars dernier, que &laquo; ce r&egrave;glement ne souffre pas de retard ! &raquo;. Les organisations devront modifier leurs modes de gouvernance et refondre leurs syst&egrave;mes de s&eacute;curit&eacute; concernant la protection des donn&eacute;es personnelles. Par exemple, elles sont tenues de s&rsquo;engager dans une d&eacute;marche de privacy by design , c&rsquo;est-&agrave;-dire incorporer des mesures techniques et organisationnelles de protection d&egrave;s la conception du produit ou service, afin de se trouver en mesure de d&eacute;montrer la conformit&eacute; au r&egrave;glement. De plus, le client doit pouvoir b&eacute;n&eacute;ficier du plus haut niveau de protection possible, soit le privacy by default . En cas d&rsquo;utilisation de nouvelles technologies, la protection doit &ecirc;tre activ&eacute;e par d&eacute;faut. Un m&eacute;canisme d&rsquo;auto-contr&ocirc;le, ou accountability , au sein de la soci&eacute;t&eacute; est &eacute;galement requis. L&rsquo;entreprise doit aussi garantir la tra&ccedil;abilit&eacute; de chaque op&eacute;ration. L&rsquo;autre nouveaut&eacute; r&eacute;side dans l&rsquo;&eacute;tude d&rsquo;impact sur la vie priv&eacute;e (EIVP, en anglais Privacy Impact Assessment ou PIA) auquel est tenu le responsable de traitement. L&rsquo;EIVP sera n&eacute;cessaire pour tous les traitements de donn&eacute;es sensibles &agrave; risque (sant&eacute;, origine ethnique etc.) et de profilage. Lorsque le risque est &eacute;lev&eacute;, le responsable devra obtenir l&rsquo;aval de la Cnil. La mise en place d&rsquo;un D&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es (DPO) fait &eacute;galement partie des nouvelles mesures phares du r&egrave;glement. En principe, les banques ont d&eacute;j&agrave; pour la plupart un Correspondant informatique et libert&eacute;s (CIL) dont le r&ocirc;le va s&rsquo;&eacute;largir en devenant DPO. Par ailleurs, transf&eacute;rer les donn&eacute;es hors de l&rsquo;Union europ&eacute;enne n&eacute;cessitera la mise en place de BCR ( Binding Corporate Rules ). Parall&egrave;lement au RGPD, la Commission europ&eacute;enne a &eacute;labor&eacute; de son c&ocirc;t&eacute; un nouveau r&egrave;glement dit &laquo; e-Privacy &raquo; [2] , en vue d&rsquo;encadrer la protection des donn&eacute;es priv&eacute;es dans les communications &eacute;lectroniques. Autrement dit, les n&eacute;o-banques ou autres banques mobiles friandes d&rsquo;&eacute;changes instantan&eacute;s (par SMS, chat, vid&eacute;o, etc.) auront &agrave; se soumettre aux nouvelles mesures encadrant notamment les cookies et les traceurs. La Commission envisage de faire entrer le r&egrave;glement e-Privacy en vigueur en m&ecirc;me temps que le RGPD, soit le 25 mai 2018. Mais c&rsquo;est sans compter les lobbys des g&eacute;ants du net qui œuvrent activement pour infl&eacute;chir le projet. Affaire &agrave; suivre donc&hellip; 1 R&egrave;glement 2016/679/UE du Parlement europ&eacute;en et du Conseil du 27 avril 2016 relatif &agrave; la protection des personnes physiques &agrave; l'&eacute;gard du traitement des donn&eacute;es &agrave; caract&egrave;re personnel et &agrave; la libre circulation de ces donn&eacute;es, et abrogeant la directive 95/46/CE (dit r&egrave;glement g&eacute;n&eacute;ral sur la protection des donn&eacute;es ou RGPP). 2 R&egrave;glement du Parlement europ&eacute;en et du Conseil concernant le respect de la vie priv&eacute;e et la protection des donn&eacute;es &agrave; caract&egrave;re personnel dans les communications &eacute;lectroniques et abrogeant la directive 2002/58/CE (r&egrave;glement &laquo;vie priv&eacute;e et communications &eacute;lectroniques&raquo;) pr&eacute;sent&eacute; le 10 janvier 2017.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Dossier

RGPD : quelques mois pour se mettre en conformité !

À retrouver dans la revue

Banque de détail

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Blockchain/Cryptoactifs

Les garanties bancaires
sont d’excellents cas d’usage

Banque de financement et d'investissement (BFI)

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »

Paiements

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Dossier

Consommation, toutes options comprises

Dossier

L’IA, artificielle et efficace

Dossier

Sport et finance, une saine compétition

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

RGPD : quelques mois pour se mettre en conformité !

À retrouver dans la revue

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Les garanties bancaires sont d’excellents cas d’usage

« Paris est le centre de gravité pour tous les instruments financiers traités en euros »

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Consommation, toutes options comprises

L’IA, artificielle et efficace

Sport et finance, une saine compétition

Les garanties bancaires
sont d’excellents cas d’usage

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »