GDPR: Le nouveau règlement européen sur la protection de la vie privée

La confidentialité : d'un coût à une ressource de valeur

L'année 2017 est celle de la préparation à la transition du Code de la confidentialité au nouveau Règlement Européen sur le traitement des données personnelles (GDPR). Ce nouveau règlement est en vigueur depuis le 25 mai 2016 et sera pleinement applicable à partir du 25 mai 2018. Cela signifie que même les traitements déjà effectués devront être conformes au GDPR d'ici le 25 mai 2018.

Real Comm vous offre un soutien à la jurdique et technologique

Le nouvel ensemble de règles vise à harmoniser la réglementation entre les États membres en matière de confidentialité et a pour but de développer le marché unique numérique par la création et la promotion de nouveaux services, applications, plateformes et logiciels. Les entreprises sont chargées de mettre immédiatement en place des activités d'adaptation au nouveau cadre réglementaire.

Le nouveau Règlement Européen (GDPR) introduit plusieurs changements par rapport au Code de la confidentialité, qui reste en vigueur. En effet, le GDPR prévoit la nouvelle figure professionnelle du DPO (Data Protection Officer), obligatoire pour les entités traitant des volumes significatifs de données, ainsi que de nouveaux devoirs et responsabilités pour le responsable du traitement des données. Parmi ceux-ci, il y a l'obligation de tenir un Registre des Activités de Traitement. Le GDPR prend également en compte les scénarios de conception qui doivent respecter dès le départ l'approche d'une activité de traitement (privacy by default, privacy by design, privacy impact assessment).

Le GDPR introduit de nouvelles règles : il prévoit une nouvelle méthode de transfert des données personnelles vers des pays tiers et de nouvelles procédures à adopter en cas de perte de données. Le GDPR a établi un comité européen pour la protection des données chargé d'appliquer des politiques congruentes et cohérentes avec la croissance des réseaux sociaux et du cloud (comme système de stockage et de traitement des données).

L'objectif commun du législateur et du Garant pour la protection des données personnelles est de simplifier les obligations du responsable du traitement afin qu'il puisse tirer des avantages concrets de la nouvelle législation.

En fait, l'adoption correcte de mesures simples de protection des données personnelles peut contribuer à rendre l'organisation de l'entreprise plus efficace et à réduire sensiblement les risques potentiels auxquels elle est exposée sur le marché. Il est donc nécessaire d'adopter des meilleures pratiques qui peuvent améliorer non seulement l'image de l'entreprise, du point de vue de la responsabilité sociale, mais aussi sa capacité commerciale pour les mêmes coûts supportés, en augmentant la confiance des utilisateurs et des consommateurs dans la sérieux et la fiabilité de l'entreprise.

Certaines des nouveautés introduites peuvent entraîner des modifications importantes dans l'organisation de l'entreprise et, dans certains cas, des investissements technologiques. Il est donc nécessaire de préparer un plan fait d'évaluations et d'analyses pour ne pas être pris au dépourvu lorsque le GDPR entrera en vigueur.

Comment aborder les nouveautés du GDPR :

• Valoriser les solutions déjà adoptées en entreprise, en harmonie avec l'obligation de conformité (compliance) au GDPR ;
• Choisir la méthode la plus appropriée pour faire face aux nouveautés du GDPR, en évaluant le type de données personnelles traitées, les risques de chaque traitement spécifique et le type d'entreprise ;
• Adopter des mesures techniques et organisationnelles qui : 
  • Garantissent une conformité complète aux exigences du GDPR ; 
  • Permettent au Responsable du traitement de démontrer que le traitement est conforme au GDPR ;
  • Sont conformes aux Codes de Conduite certifiés. 

Pour garantir la conformité au GDPR, les entreprises doivent :

• Identifier et formaliser les rôles et responsabilités pour les traitements de données personnelles et pour leur protection ; gérer un Registre des Traitements, à réexaminer et mettre à jour si nécessaire ;
• Évaluer les impacts et les risques de chaque traitement spécifique pour l'entreprise, en tenant compte également des mesures de protection actuelles, et procéder à une évaluation périodique (PIA) ;
• Identifier et planifier les projets d'adaptation au Nouveau Règlement Européen (portée, ressources, délais), en valorisant les solutions et compétences déjà disponibles en entreprise : définir les mesures de sécurité (techniques et organisationnelles) appropriées en relation avec l'évaluation du risque ;
• Gérer les plans de remédiation (plan de remédiation) des mesures de sécurité non adoptées ; gérer le processus privacy by design sur les nouveaux traitements introduits ;
• Évaluer l'opportunité d'adopter des meilleures pratiques de marché (standards, cadres, normes ISO, etc) pour assurer l'efficacité et l'efficience des solutions ;
• Gérer le registre des incidents ;
• Évaluer l'impact économique pour la conformité au GDPR 

Il est souhaitable, et nécessaire, d'intervenir immédiatement avec des plans d'adaptation efficaces au GDPR, de préférence avant le IIème semestre 2017 par rapport à l'échéance imminente :

• Avant le IIIème trimestre 2017, réalisation du Document de conformité au D.Lgs 196/2003 avec plan d'adaptation au GDPR ; 
• Avant le IVème trimestre 2017, réalisation du Master Plan GDPR ; 
• Avant le Ier trimestre 2018, réalisation des Projets d'Adaptation au GDPR.

Real Comm vous accompagne dans ce parcours délicat.

Real Comm vous fournit un soutien juridique et technologique pour vous guider dans le scénario complexe actuel et pour obtenir une protection adéquate des données lors de l'acquisition, du traitement, du transfert et de la suppression. Real Comm offre un service qui permet à vous et à votre entreprise de comprendre les obligations imposées par le GDPR en matière de protection des données (data protection), de planifier les conformités, d'implémenter les mesures nécessaires et de les surveiller dans le temps. Real Comm vous aide à vous conformer aux obligations introduites par le nouveau Règlement Européen (GDPR) en matière de data protection, en vue de sa pleine applicabilité en mai 2018.

Principaux aspects traités dans les interventions de conseil et de soutien :

• Définitions et concepts de base du Nouveau Règlement Européen (GDPR) et différences avec l'actuel Code de la Privacy 
• Nouveautés organisationnelles et méthodologiques du GDPR (Chapitre IV) : les procédures qui, en général, rendent le traitement légal
• La Privacy et les nouvelles conditions du consentement ; 
• Le Responsable du traitement et le Chargé du traitement : obligations et responsabilités ;
• La sécurité des données personnelles (Data Protection) et Protection Impact Assessment (PIA)
• Les principes de Privacy by design et Privacy by default
• La nouvelle figure du Data Protection Officer (DPO) : missions, responsabilités et durée ;
• La violation des données personnelles (Data Breach) ;
• Le Registre des Activités de Traitement 
• Gestion des Logs
• Comment planifier l'adaptation au GDPR : conformité au Code de la Privacy dans la perspective de l'entrée en vigueur du GDPR.
• Rappel de certaines Dispositions Générales du Garant : 
  
  • L'utilisation de l'ordinateur en entreprise ;
  • Les systèmes de vidéosurveillance en entreprise ;
  • Les règles du marketing ;
  • Le site d'entreprise et les traitements avec internet.

Destinataires des interventions de conseil et de soutien :

• Responsables du Personnel, Responsables et agents ICT, agents du Bureau Légal d'entreprises et d'entités publiques, Responsables du Bureau Marketing, Responsables et Chargés du traitement, consultants, administrateurs de Système, avocats, comptables
• Tous ceux qui ont nommé un Responsable Externe au Traitement

• Tous ceux qui ont nommé un fournisseur Responsable Externe au Traitement