3 min de lecture Connecté

La difficile préparation au règlement européen sur les données personnelles

Administrations et entreprises ont huit mois pour se conformer au nouveau règlement européen pour la protection des données personnelles.

Un clavier d'ordinateur (illustration)
Un clavier d'ordinateur (illustration) Crédit : Flickr
studio-rtl
La rédaction numérique de RTL
et AFP

Le temps presse. Administrations et entreprises n'ont plus que quelques mois pour se préparer au nouveau règlement européen qui leur imposera notamment, dès le 25 mai 2018, de communiquer toutes les violations de la confidentialité des données personnelles qu'elles détiennent.

Adopté en avril 2016 après une longue maturation, le Règlement général pour la protection des données (RGPD, ou GDPR en anglais) repose sur le droit fondamental que constitue, pour toute personne se trouvant sur le territoire européen, la protection de sa vie privée et de ses données personnelles.

"En pratique, le droit européen s'appliquera donc chaque fois qu'un résident européen sera directement visé par un traitement de données, y compris par internet", précise la Commission nationale de l'informatique et des libertés (Cnil).

À lire aussi
Shazam est un partenaire historique d'Apple depuis le lancement de l'iPhone Connecté
Apple : pourquoi le rachat de Shazam par l'entreprise est une bonne affaire

Tous responsables des données recueillies

Sont concernés les entreprises, administrations, associations, partis politiques, et aussi les sous-traitants qu'ils soient dans l'Union européenne ou pas. Ils seront tenus de ne collecter que les données nécessaires. Ils ne pourront pas les garder plus longtemps que nécessaire, et devront s'assurer du consentement éclairé des intéressés, qui garderont un droit de regard.

Tous ces acteurs seront responsables de ces données, devront en envisager la protection dès la conception de leurs produits et services, et seront obligés de prévenir rapidement l'autorité compétente --en France, la Cnil-- en cas de perte, de vol ou de divulgation. Les personnes concernées devront aussi en être informées.

Concrètement, résume Laurent Heslault, directeur des stratégies de sécurité de Symantec, "une entreprise doit à tout moment savoir de quelles données elle dispose, leur localisation, l'objectif de leur collecte et leur mode de gestion, stockage, sécurisation, transfert et effacement".

"En mode panique"

Elle devra en outre "être en mesure de déceler si leur intégrité a été compromise et y remédier promptement, tout en consignant et notifiant l'événement". "Le GDRP s'applique aussi au format papier", indique-t-il à l'AFP. "Il vaut mieux ne pas trop imprimer les données à caractère personnel!" La notification des incidents est une petite révolution, car la plupart des entreprises françaises préfèrent actuellement garder secrètes les attaques dont elles sont victimes, pour mieux combattre les hackers, ou le plus souvent pour préserver leur réputation.

Pour l'heure, "on est en mode panique", constate Laurent Heslault, estimant qu'"il n'y a pas grand monde qui sera conforme le 25 mai 2018". Il faut dire qu'il y a du travail. Outre la désignation d'un délégué à la protection des données (DPO), il faut commencer à identifier où sont ces données, et mettre au point des stratégies de défense, de réponse aux incidents et de gestion d'éventuels contentieux. De quoi donner bien du travail aux consultants.

Les premières amendes donneront le ton

Les amendes pourront aller jusqu'à 4% du chiffre d'affaires mondial, ou 20 millions d'euros pour un parti ou une association. "Tout le monde se demande qui va être pris le premier dans le pot de confiture et combien il va prendre", s'amuse Jérôme Robert, responsable marketing d'EclecticIQ, une société néerlandaise spécialisée dans les cybermenaces. "J'attends avec impatience les premières amendes", dit-il. "Si les autorités donnent de petites amendes au lieu de taper fort, ça risque de briser l'élan".

Les avis étaient partagés cette semaine aux Assises de la sécurité et des systèmes d'informations à Monaco. Nombreux sont ceux qui pensent que la Cnil se montrera assez compréhensive au début. Quoi qu'il en soit, relève Fortunato Guarino, spécialiste de la protection des données chez Guidance Software (une société américaine d'investigations numériques), les victimes pourront aussi choisir de saisir la justice.

"N'importe quel citoyen français pourra poursuivre son dentiste, son médecin, un hôpital et pourquoi pas son plombier ou EDF pour non-conformité pour ses données personnelles", observe-t-il. "Et demander des réparations". Conclusion: "On va tous se rendre compte que pour être tranquille il faut minimiser les données personnelles qui sont collectées, et s'assurer du fondement juridique de leur traitement". Et c'est bien la finalité du RGPD. 

La rédaction vous recommande
Lire la suite
Connecté Vie privée Sécurité
Restez informé
Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires. Cette inscription sera valable sur le site RTL.fr.

Connectez-vous Inscrivez-vous

500 caractères restants

fermer
Signaler un abus
Signaler le commentaire suivant comme abusif
500 caractères restants
article
7790510550
La difficile préparation au règlement européen sur les données personnelles
La difficile préparation au règlement européen sur les données personnelles
Administrations et entreprises ont huit mois pour se conformer au nouveau règlement européen pour la protection des données personnelles.
http://www.rtl.fr/actu/futur/la-difficile-preparation-au-reglement-europeen-sur-les-donnees-personnelles-7790510550
2017-10-13 18:34:20
http://media.rtl.fr/cache/zQmjpb6L_2hZ-dGQ59k0bg/330v220-2/online/image/2016/0401/7782634353_un-clavier-d-ordinateur-illustration.jpg