RGPD : quelques mois pour se mettre en conformité !

Dossier réalisé par Samorya Wilson

Introduction

RGPD : quelques mois pour se mettre en conformité !

« Avec cette capacité, la grande majorité des communications est automatiquement ingérée sans être ciblée. Si je voulais voir vos e-mails, ou le contenu du téléphone de votre femme, tout ce que j’ai à faire est d’utiliser des programmes d’interception. Je peux avoir accès à vos mails, vos mots de passe, vos relevés téléphoniques, vos cartes de crédit. » Edward Snowden

RGPD

Le nouveau règlement général européen sur la protection des données personnelles (RGPD) [1], en anglais General Data Protection Regulation (GDPR), instaure de nouvelles exigences beaucoup plus contraignantes pour les organisations, avec de lourdes sanctions à la clé. Le chantier de mise en conformité semble laborieux pour les entreprises qui craignent de ne pas être prêtes à la date fatidique d’entrée en vigueur du règlement, soit le 25 mai 2018. Plusieurs études sur le sujet en témoignent : une enquête KPMG du 23 mai 2017 sur les impacts du RGPD révèle que 67 % des entreprises estiment qu’elles ont encore un important effort à fournir, une étude du 3 mai 2017 du cabinet Gartner prévoit quant à elle qu’à la fin de 2018, plus de 50 % des entreprises concernées par le RGPD ne seront pas pleinement conformes à ses exigences. Cependant, Isabelle Falque-Pierrotin, la présidente de la Cnil avait prévenu, lors de la présentation du rapport d'activité 2016 le 27 mars dernier, que « ce règlement ne souffre pas de retard ! ».

Les organisations devront modifier leurs modes de gouvernance et refondre leurs systèmes de sécurité concernant la protection des données personnelles. Par exemple, elles sont tenues de s’engager dans une démarche de privacy by design, c’est-à-dire incorporer des mesures techniques et organisationnelles de protection dès la conception du produit ou service, afin de se trouver en mesure de démontrer la conformité au règlement. De plus, le client doit pouvoir bénéficier du plus haut niveau de protection possible, soit le privacy by default. En cas d’utilisation de nouvelles technologies, la protection doit être activée par défaut. Un mécanisme d’auto-contrôle, ou accountability, au sein de la société est également requis. L’entreprise doit aussi garantir la traçabilité de chaque opération. L’autre nouveauté réside dans l’étude d’impact sur la vie privée (EIVP, en anglais Privacy Impact Assessment ou PIA) auquel est tenu le responsable de traitement. L’EIVP sera nécessaire pour tous les traitements de données sensibles à risque (santé, origine ethnique etc.) et de profilage. Lorsque le risque est élevé, le responsable devra obtenir l’aval de la Cnil. La mise en place d’un Délégué à la protection des données (DPO) fait également partie des nouvelles mesures phares du règlement. En principe, les banques ont déjà pour la plupart un Correspondant informatique et libertés (CIL) dont le rôle va s’élargir en devenant DPO. Par ailleurs, transférer les données hors de l’Union européenne nécessitera la mise en place de BCR (Binding Corporate Rules).

Parallèlement au RGPD, la Commission européenne a élaboré de son côté un nouveau règlement dit « e-Privacy » [2], en vue d’encadrer la protection des données privées dans les communications électroniques. Autrement dit, les néo-banques ou autres banques mobiles friandes d’échanges instantanés (par SMS, chat, vidéo, etc.) auront à se soumettre aux nouvelles mesures encadrant notamment les cookies et les traceurs. La Commission envisage de faire entrer le règlement e-Privacy en vigueur en même temps que le RGPD, soit le 25 mai 2018. Mais c’est sans compter les lobbys des géants du net qui œuvrent activement pour infléchir le projet. Affaire à suivre donc…

 

Dossier réalisé par Samorya Wilson

[1] Règlement 2016/679/UE du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (dit règlement général sur la protection des données ou RGPP).

[2] Règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques») présenté le 10 janvier 2017.

Sommaire

Le dossier que vous souhaitez consulter est payant ou réservé à nos abonnés.

Vous êtes abonné.
Merci de vous identifier.

Achetez ce contenu à l'unité
Tarif : 15.00 euros TTC
Revue Banque