« Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité ».

Quel est le prix à payer par les entreprises pour rendre compatible leur emploi des données avec cet objectif posé au 4ème considérant du règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ?

Ce règlement en vigueur depuis juin 2016 est applicable à partir du 25 mai 2018.

Le règlement sur la protection des données personnelles, toutes les entreprises y sont soumises. Toutes les entreprises aujourd’hui utilisent des données personnelles. Les services techniques comme les services commerciaux collectent et exploitent des données personnelles ne serait-ce que pour identifier leurs interlocuteurs des sociétés clientes, de leurs fournisseurs  et de leurs partenaires. Quel que soit le secteur d’activité concernée,  les entreprises emploient des données personnelles pour leurs ressources humaines,  dans leurs différents services financiers  et bien entendu, au service juridique et même à la direction de la propriété industrielle.

Le  RGPD n’a pas pour objectif d’interdire l’emploi des données personnelles.  Les personnes physiques qui pour leurs activités personnelles ou domestiques utilisent des données personnelles par exemple dans leur téléphone portable, ne sont pas soumises au RGPD. Pour les entreprises, Il serait inutile et contre-productif de détruire les bases de données aux motifs qu’elles contiennent des données personnelles, un tel acte si hâtif pourrait d’ailleurs être reproché par des partenaires dont l’activité se trouve ainsi perturbée.

Le RGPD organise ce droit de la protection des données personnelles qui est un droit fondamental.   C’est un changement radical pour les entreprises, elles ne peuvent plus agir comme si elles étaient propriétaire de ces données personnelles, elles n’en sont que les gardiennes, situation qui les oblige envers les personnes physiques concernées.

Cette soumission de l’entreprise à ce droit fondamental de la personne physique s’exprime au RGPD à tous les stades de la formalisation de la donnée personnelle comme par exemple lors de sa collecte, de son traitement, de sa détention, de son exploitation, et même pour sa conservation.

Le  RGPD définit très largement les informations qui constituent des données à caractère personnel.  Toute information se rapportant à une personne physique identifiée ou identifiable notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. S’ajoute à cette liste les données qui bien qu’ayant fait l’objet d’une anonymisation, peuvent être attribuées à une personne physique par le recours à des informations supplémentaires.

Certes, le champ d’application du RGDP est immense, mais dans la plupart des cas, les entreprises disposent de solutions simples pour la mise en conformité de leur base de données en toute transparence avec les personnes physiques concernées.

Différents principes sont posés au règlement RGPD :

  • qualifications des données dites sensibles,
  • renforcement des droits des personnes dont les données personnelles sont utilisées,
  • obligation de sécurité des données dès la phase d’élaboration du traitement mettant en œuvre des données personnelles,
  • responsabilisation et transparence entre l’entreprise qui détermine les finalités et les moyens du traitement, – le responsable du traitement-, et son sous-traitant.

Quelques développements sur des problématiques essentielles :

  Comme le mécanisme mis en place par le règlement RGPD ne repose plus sur des déclarations ou des autorisations  préalables, mais sur la preuve d’un état de conformité, à cette fin parmi les outils envisagés peuvent être cités :

  • le registre des traitements
  • le délégué à la protection des données
  • la notification des défaillances de sécurité
  • la certification
  • les codes de conduite
  • les études d’impact sur la vie privée

Pour les petites et moyennes entreprises, le règlement RGPD prévoit des dérogations et des tempéraments afin de ne pas perturber l’utilisation du service qui traite les données personnelles. Mais là est bien l’enjeu du règlement, comment les petites et moyennes entreprises peuvent-elles se conformer aux nouvelles dispositions dans des budgets maîtrisés ?