Une protection harmonisée au niveau européen
Depuis le 25 mai 2018, le règlement (UE) 2016/976 relatif à la protection des données personnelles (RGPD) s'impose à l'ensemble des pays de l'Union Européenne et bouleverse, en grande partie, l'approche des entreprises en matière de traitement des données personnelles.
Les entreprises sont tenues d'assurer une protection optimale des données à chaque instant et d'être en mesure de la démontrer en documentant leur conformité. Des sanctions effectives, proportionnées et dissuasives peuvent être délivrées pour toute violation du règlement européen, indépendamment des conséquences engendrées sur la réputation pour l'entité concernée.
Les principes de la protection des données personnelles
La protection des données personnelles est un droit fondamental qui a notamment été consacré en France par la loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. La loi 2018-493 du 20 juin 2018 en constitue la nouvelle émanation et intègre les évolutions liées à la mise en œuvre du RGPD.
- La CNIL détermine 5 grands principes de protection des données personnelles, à savoir :
- Le principe de finalité (but bien précis, légal et légitime)
- Le principe de proportionnalité et de pertinence (strictement nécessaires au regard de la finalité)
- Le principe d'une durée de conservation limitée (durée de conservation précise)
- Le principe de sécurité et de confidentialité (accès aux seules personnes autorisées)
- Les droits des personnes (information et transparence)
Quelques éléments de compréhension
Que sont les données à caractère personnel ?
Elles recouvrent toutes les informations permettant, directement ou indirectement, l'identification d'une personne physique :
- Exemple : nom, prénom, téléphone, immatriculation, adresse IP, diplômes, etc.
- Toutes les définitions sont mentionnées à l'art 4 du RGPD sur le site de la CNIL ou de l'UE
Qu'est-ce qu'un traitement de données à caractère personnel ?
Toute opération ou ensemble d'opérations portant sur des données, soit :
- Les traitements automatisés
- Les traitements non automatisés, si les données personnelles figurent dans des fichiers
- L'art 5 du RGPD sur le site de la CNIL ou de l'UE, évoque les principes relatifs aux traitements de données à caractère personnel
Pourquoi un Data Protection Officer (DPO) ?
La désignation d'un délégué à la protection des données est obligatoire dans les cas suivants :
- Le traitement est effectué par une autorité publique ou un organisme public
- Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement (suivi régulier, systématique, à grande échelle..)
- Suivi à grande échelle de données sensibles (révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, etc..)
- Voir article 37 du RGPD sur le site de la CNIL ou de l'UE
Réagir face à une atteinte à la sécurité économique
Parce qu'elles ne sont pas nécessairement liées à l'existence d'une infraction à la loi pénale, les atteintes à la sécurité économique se révèlent parfois difficiles à comprendre ou à identifier pour le dirigeant d'une petite ou moyenne entreprise ou par des salariés.
Pour préserver votre réputation et aller encore plus loin dans la protection des données personnelles, vous pouvez :
- Découvrir ce qui change pour les professionnels en se rendant sur le site de la CNIL,
- Se préparer en 6 étapes en suivant les conseils de la CNIL,
- Appréhender le RGPD de manière interactive avec la Commission Européenne.
- Pour toute autre question, la brigade numérique de la gendarmerie se tient à votre disposition sur www.gendarmerie.interieur.gouv.fr
> Télécharger la fiche au format pdf
> Retour au sommaire des fiches thématiques des atteintes à la sécurité économique