GDPR, Règlement général sur la protection des données

25 mai 2018, GDPR

À partir du 25 mai 2018, le Règlement général sur la protection des données (RGPD) sera d’application. Le RGPD confirme des principes de protection des données déjà existants mais prévoit également plusieurs nouveaux droits et nouvelles obligations. Depuis quelque temps, la Commission de la protection de la vie privée reçoit de plus en plus de questions concernant la portée exacte de ces nouveaux droits et nouvelles obligations.

Aux travers de 11 thèmes et 5de grands principes, l’Europe transforme les traitements de données à caractère personnel et se donne les moyens de faire respecter la loi par des amendes pouvant aller jusqu’à 4% du CA ou 20 000 000 €.

Une des nouvelles obligations figurant dans le RGPD concerne l’obligation de réaliser, dans certaines circonstances, une “analyse d’impact relative à la protection des données” (AIPD)

Analyse d’impact relative à la protection des données (AIDP) ou Privacy Impact analyses (PIA)

• Article 35 de la GDPR

  « … Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel…. »

• et le considérant 84

  « Afin de mieux garantir le respect du présent règlement lorsque les opérations de traitement sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement devrait assumer la responsabilité d’effectuer une analyse d’impact relative à la protection des données pour évaluer, en particulier, l’origine, la nature, la particularité et la gravité de ce risque. »

Une AIPD est un processus visant à évaluer les risques liés aux droits et libertés des personnes physiques qui surviennent ou menacent de survenir dans le cadre du traitement de données à caractère personnel, et à évaluer les possibilités de gestion de ces risques« Afin de mieux garantir le respect du présent règlement lorsque les opérations de traitement sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement devrait assumer la responsabilité d’effectuer une analyse d’impact relative à la protection des données pour évaluer, en particulier, l’origine,la nature, la particularité et la gravité de ce risque.”

• La responsabilité et l’approche fondée sur les risques

  Le principe de la responsabilité (ce qu’on appelle l’ « accountability » ) implique que le responsable du traitement n’est pas uniquement tenu de respecter les principes et obligations du RGPD mais qu’il doit également pouvoir démontrer qu’il les respect.

L’AIPD constitue un instrument.

• Système de management des Données à Caractère Personnel pour le DPO

  Face à ce défi pour les entreprises, nous vous accompagnons dans la mise en œuvre d’un système de management des Données à Caractère Personnel.

Risk’n Tic propose la tenue du registre, une méthodologie d’analyse d’impact , des rapports analytique et fractale permettant de communiquer vers les parties prenantes et qui s’appuie sur les référentiels PIA de la CNIL et la norme ISO27002 :

• l’article 24

  « Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en oeuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. »