Jusqu’à aujourd’hui, toutes les règlementations en vigueur en ce qui concernait la protection des données personnelles des individus, et plus précisément en matière de biométrie, étaient gérées et contrôlées par la CNIL (Commission Nationale de l’Informatique et des Libertés). Pour rappel, deux autorisations uniques étaient possibles pour la mise en place de systèmes biométriques : AU-052, pour une installation avec l’utilisation d’un badge comme support pour stocker le gabarit biométrique, et l’AU-053, pour une utilisation en empreinte seule avec un gabarit stocké dans une base de données.
Cette réglementation, propre au marché français, va dorénavant disparaitre pour laisser place à un règlement harmonisé qui s’étend à l’ensemble de l’Union Européenne. A partir du 25 Mai 2018, place désormais au RGPD (Règlement Général sur la Protection des Données) qui va modifier principalement les pratiques des entreprises par rapport aux actions menées pour la protection des données personnelles.
Dans un premier temps, il est important de savoir ce qu’est le RGPD.
Il faut savoir tout d’abord qu’il s’agit d’une loi européenne votée par le Parlement Européen, la Commission Européenne et le Conseil de l’Union Européenne. La mise en place de cette loi fait effet à l’évolution des technologies et vise à s’assurer que la protection des données soit optimale. D’une part, le RGPD tend à responsabiliser les professionnels (ceux qui traitent les données) afin qu’ils mettent en place toutes les actions possibles pour protéger les données. D’autre part, à accentuer les droits des individus en leur offrant plus de maitrise sur leurs propres données. De manière générale, ce règlement européen va permettre de réduire les contrôles en amont et en contrepartie renforcer le pouvoir de sanction de la CNIL.
Concrètement de nouvelles mesures vont voir le jour.
Avant toute chose, l’entreprise devra s’assurer que les traitements de données effectués soient en adéquation avec les normes de sécurité qui visent à protéger les données personnelles des individus. Ces derniers devront clairement et de façon explicite donner leur accord quant à la collecte de leurs données personnelles et aussi en avoir l’accès dans les meilleurs délais pour les modifier ou les effacer. D’ailleurs, si celles-ci sont amenées à être subtilisée, leurs propriétaires devront en être informés rapidement.
De plus, un registre de traitement devra être créé par les responsables du traitement (l’entreprise) et être vérifiable à tout moment par les autorités. L’objectif étant de sécuriser les données tout en instaurant des mesures de sécurité particulières pour éviter d’éventuelles violations de base de données. Autre nouveauté, la création de délégués responsables à la protection des données (interne ou externe). Ces derniers s’assureront que tous les traitements de données soient en conformité et informeront/conseilleront la politique générale de protection des informations personnelles.
Des nouvelles mesures qui devront être respectées et pour s’en assurer, la CNIL s’efforcera d’en faire le suivi.
En effet, en ce qui concerne les contrôles, les pouvoirs de la CNIL resteront inchangés. Cette commission continuera à procéder aux vérifications sur place, en ligne, sur audition. Les déclenchements aux contrôles restent inchangés également : programme annuel des contrôles, plaintes reçues, informations divulguées par les médias ou pour faire suite à un précédent contrôle.
En revanche, la CNIL identifiera très clairement deux types d’obligations qui s’imposeront aux professionnels.
Les principes fondamentaux sur la protection des données personnelles seront toujours soumis à des contrôles rigoureux. Par contre, les nouvelles obligations provenant du RGPD seront, dans un premier temps, contrôlées dans le but d’accompagner les entreprises à la bonne compréhension des textes et des règles. Les premiers mois de contrôle n’auront pas pour objectif de sanctionner mais plutôt d’aider à une mise en conformité.
Bien entendu, après les premiers mois de mise en route, le non respect des règles engendrera des sanctions.
Comme expliqué ci-dessus, la CNIL ne sera pas exigent sur les premiers mois concernant l’analyse d’impact pour les traitements de données. En revanche, cette analyse devra être réalisée dans tous les cas où le traitement des données représente un risque élevé : pour les traitements réalisés avant le 25 Mai 2018 n’ayant fait l’objet d’une formalité préalable auprès de la CNIL ou ceux mis en œuvre mais qui ont réalisé une modification significative depuis l’accomplissement de leur formalité préalable. Bien entendu, tout traitement intervenu après le 25 Mai 2018 devra mettre en place une analyse d’impact.
Financièrement, la sanction possible est de 10 000 000€ ou pour le cas d’une entreprise, celle-ci s’élève à 2% du chiffre d’affaires annuel total de l’exercice précédent.
L’analyse d’impact est un élément clé du RGPD, mais en quoi consiste-t-elle ?
Il faut savoir qu’elle est obligatoire pour les traitements qui peuvent engendrer des risques élevés pour les droits et libertés des individus concernés. L’analyse permet d’établir des traitements de données respectueux de la vie privée et de montrer leur conformité au RGPD.
L’analyse d’impact (DPIA) doit être réalisée par le responsable de traitement (s’assure de la conformité au RGPD), le délégué à la protection des données (conseille et se charge de vérifier sa bonne exécution), le sous-traitant (fourni son aide et les informations nécessaires) et les personnes concernées (demander leur avis).
Il faut savoir qu’il n’y a aucune obligation de publication mais cependant il doit être fourni à la CNIL en cas de consultation préalable.
Pour plus d’informations, rendez-vous sur le site de la CNIL : www.cnil.fr