LA PROTECTION DES DONNÉES PAR ANTICIPATION DES RISQUES

Par Amélie SZCZEPANSKI
Consultante Juriste RGPD
 
Le bon développement de l’économie numérique repose sur la confiance des citoyens, non seulement en son potentiel, mais aussi en sa sécurité. Or, avec les incessants faits divers relatant telle importante faille de sécurité découverte dans tel système informatique, la confiance des citoyens quant à la sécurité apportée au traitement de leurs informations s’est fortement érodée. Au détriment de cette nouvelle économie et en dépit de l’adoption de textes nationaux destinés à renforcer la sécurité numérique, nombreux sont ceux qui ont pris l’habitude de renseigner des informations erronées les concernant. Ainsi, selon M. Fabrice Mattatia, délégué à la protection des données au Ministère de l’Intérieur, 47% des usagers d’internet auraient déclaré en 2013 y laisser volontairement de fausses informations personnelles.

L’entrée en application du RGPD pourrait inverser cette tendance.

D’abord, l’approche du RGPD est fondée sur une logique de responsabilisation accrue des professionnels qui traitent des données personnelles, les obligeant désormais à être en capacité de démontrer à tout moment qu’ils respectent le cadre juridique applicable à leurs traitements (principe dit d’ « accountability »), en particulier lorsqu’une personne concernée en fait la demande, ou à l’occasion d’un contrôle de l’autorité de régulation (la CNIL pour la France).

Ensuite, cette logique se traduit notamment par la consécration d’un autre principe, le « privacy by design and by default », qui suppose « qu’à la fois en termes d’organisation interne, de configuration des services ou des produits et de nature et volume de données traitées, les responsables de traitement [mettent] en place des processus et mesures permettant de garantir ab initio une protection optimale des données et une minimisation de la collecte. »1

En d’autres termes, les responsables de traitement sont à présent tenus de procéder à une gestion anticipée des risques, d’apprécier leur gravité et leur vraisemblance dès la conception d’un projet de traitement, de concevoir tout nouveau projet de traitement de manière à éviter que ces risques ne se réalisent, et enfin de ré-évaluer ces derniers tout au long de la vie du traitement considéré.

Plus encore, dans le cas où un projet de traitement présente des risques élevés pour la vie privée des personnes concernées, le RGPD oblige son responsable à conduire sans délai une « analyse d’impact relative à la protection des données » (AIPD) selon des critères définis, garantissant ainsi une pleine prise en compte et une maîtrise des risques associés au projet.

Cette anticipation des risques devrait in fine conduire les responsables de traitements à développer leurs activités de façon plus transparente et sécurisée.

En tout état de cause, la CNIL sera de plus en plus vigilante quant au respect de ces nouvelles obligations, et le degré d’engagement d’une entreprise en matière d’ « accountability » pourra influer sur la nature d’une sanction qu’aurait à prononcer la CNIL.

Pour conclure, si la mise en conformité au RGPD peut s’avérer ardue, nécessitant d’importantes évolutions dans les méthodes de travail en même temps que des investissements financiers et humains non négligeables, nul doute que ses effets seront à terme bénéfiques pour tous, professionnels comme citoyens.

 
1 Source : CNIL, 37ème rapport annuel (2016).


Actualité du Groupe


10 mai 2019 : L’outil APM dévoile toutes ses fonctionnalités lors du Congrès : “Compliance & Technologie” de l’IRC
10 avril 2019 : La Minute RGPD : Le registre du traitement
10 avril 2019 : MEET’UP RGPD À TOULOUSE : ENCORE QUELQUES PLACES DISPONIBLES !
10 avril 2019 : NOUVELLE FORMATION E-LEARNING : LES BAILLEURS SOCIAUX ET LE RGPD
10 avril 2019 : LE 23 AVRIL : ACTECIL NOUVELLE-CALÉDONIE VOUS INVITE À UN PETIT DÉJEUNER RGPD GRATUIT
10 avril 2019 : RGPD & MARKETING : OPT-IN, OPT-OUT, DOUBLE OPT-IN : QUAND LES UTILISER ?
10 avril 2019 : Le danger des fichiers Excel dans la gestion des Ressources Humaines
13 mars 2019 : La Minute RGPD : La certification des compétences du DPO
13 mars 2019 : L’HÉBERGEMENT DES DONNÉES DE SANTE (HDS)
13 mars 2019 : PROFITER DU BREXIT POUR RAPPELER LES RÈGLES LIÉES AUX FLUX HORS UE
accueil Blog Actu-CIL