Le Règlement Général sur la Protection des Données personnelles (RGPD) qui entrera en vigueur le 25 mai 2018 affirme le caractère essentiel et déterminant de la protection des données à caractère personnel aussi bien à la charge des acteurs du secteur privé, que des acteurs du secteur public. Avec des sanctions pouvant atteindre 20 millions d’euros ou 4 % du CA mondial et des répercussions importantes en termes de notoriété et de renommée, les risques juridiques associés à la protection des données à caractère personnel ne peuvent plus être ignorés.
Aussi bien les responsables de traitements que les prestataires sous-traitants doivent impérativement identifier les traitements de données à caractère personnel qu’ils gèrent ou qu’ils administrent, mais aussi les différentes catégories de données, en particulier les données sensibles. Pour chaque traitement de données, un interlocuteur doit aussi être identifié. De même, il convient d’identifier les sous-traitants intervenant sur les traitements mais aussi d’encadrer strictement les relations contractuelles avec les sous-traitants.
Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement doit être en mesure de prouver que la personne a consenti à l’opération de traitement tant au regard du contenu des données le concernant que de la finalité du traitement.
La collecte et la durée de conservation et de sauvegarde des données doit être limitée au strict minimum. Les données à caractère personnel ne doivent plus être traitées si la finalité du traitement n’a plus de cause, ni d’objet.
Les destinataires des données à caractère personnel doivent être identifiés. Lorsque des données à caractère personnel sont communiquées à un autre destinataire, il convient que la personne concernée soit informée du moment auquel ces données à caractère personnel seront communiquées à cet autre destinataire, et de l’identité de cet autre destinataire. D’une manière générale, il convient de mettre en place l’information préalable des personnes concernées et, de faire prévaloir, le recueil de leur consentement explicite, éclairé et spécifique à toute exploitation de leurs données.
Il incombe aussi bien aux responsables de traitements qu’aux prestataires sous-traitants de s’assurer que les traitements font l’objet de mesures de sécurité adaptées à la nature des données et aux risques présentés par le traitement.
Les interconnexions considérées comme la mise en relation automatisée d’informations provenant de fichiers ou traitements qui étaient au préalable distincts, doivent être identifiées. Il convient aussi d’identifier les transferts de données personnelles hors de l’Union européenne. En cas de pays tiers, offrant un niveau adéquat de protection des données, les transferts de données à caractère personnel vers ce pays tiers peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autorisation administrative préalable.
La gestion des demandes d’accès, de rectification, de suppression et d’opposition des personnes concernées s’applique aussi aux données post-mortem. Dans la majorité des cas, la nomination d’un Délégué à la Protection des Données (DPD ou DPO pour Data Protection Officer) devient obligatoire, aussi bien pour les responsables de traitements de données que pour les prestataires sous-traitants.
Il devient aussi impératif pour les responsables de traitements comme pour les prestataires sous-traitants de savoir gérer les incidents de sécurité impactant les traitements de données, mais aussi de savoir gérer la notification des incidents impactant des données à caractère personnel.