Protection des données : 3 vidéos sur le futur règlement européen
La CNPD (Commission Nationale pour la Protection des Données) publie 3 vidéos animées sur le futur règlement européen en matière de protection des données et lance son nouveau formulaire de plaintes.
Dans le cadre de la Journée de la protection des données, la CNPD (Commission Nationale pour la Protection des Données) publie trois vidéos animées présentant les éléments importants auxquels les citoyens, entreprises et autorités publiques doivent se préparer. La première introduit le sujet, à savoir le nouveau règlement européen -le GDPR; la deuxième balaie ce qui changera en matière de contrôles et de processus; la troisième s’intéresse aux changements pour les personnes concernées.
L’échéance approche. Le 25 mai 2018, le GDPR sera directement applicable à tous les acteurs intervenant sur le territoire de l’Union européenne. Or, différentes études constatent le manque de préparation des entreprises et organisations publiques… La difficulté tient au fait que le règlement ne fixe pas de modalités concrètes. CE qui veut dire qu’il .
Le concept de privacy by design, fer de lance du GDPR et symbole de la nouvelle façon de concevoir la protection des données personnelles en Europe, est tout aussi contraignant pour les organisations. Il impose d’intégrer l’ensemble des principes régissant l’utilisation des données personnelles (principe de finalité, de proportionnalité, de durée de conservation, de transparence…) en amont, dès la phase de conception d’un produit ou d’un service. En outre, la régulation se base désormais sur le principe de responsabilité qui implique que l’entreprise elle-même soit en mesure de démontrer qu’elle respecte la législation en tenant à jour des preuves de cette conformité. Les phases de conception des produits et services, mais aussi de production et d’utilisation, doivent donc être repensées afin de mettre en place une véritable gouvernance interne des données personnelles.
Si certaines entreprises sont engagées dans une course contre la montre, d’autres font face à des difficultés plus difficiles à surmonter. Les experts le constatent : certaines entreprises ne savent pas encore comment mettre en pratique les nouvelles règlementations du GDPR. Toutes n’ont pas en effet la capacité de s’entourer des compétences nécessaires permettant de cibler les leviers organisationnels à mettre en place.
Le GDPR mentionne par exemple l’obligation, dans certains cas, pour une entreprise collectant ou traitant les données des utilisateurs, de nommer un délégué de la protection des données -un DPO (Data Protection Officer). Cet expert aura notamment pour mission de conseiller le responsable de traitement des données -autrement dit l’entreprise- afin que celle-ci respecte la nouvelle régulation européenne. Mais selon l’organisation des grands groupes, certaines PME n’assureront qu’un rôle de sous-traitance de la donnée : doivent-elles déjà se préparer à nommer un DPO ? Les entreprises se retrouvent ainsi à devoir répondre rapidement à de nombreuses questions dont les réponses ne sont pas évidentes. Et plus problématique encore : certaines d’entre elles ne sont pas du tout informées du contenu du GDPR.
Aussi intimidant que le GDPR puisse paraître à ce stade de préparation pour les entreprises, il n’est pas difficile de lancer dès maintenant de premières actions, et en premier lieu de créer une équipe dédiée dont les membres accepteront de partager les responsabilités. La date d’entrée en application du Règlement va approcher rapidement même si sur le papier le délai semble encore… suffisant. Ne cédons pas encore à la panique, estime la CNPD, mais n’attendons pas la dernière ligne droite pour agir. Prioritisons et commençons aujourd’hui par les points les plus cruciaux.
