A l’ère de l’explosion du numérique et des réseaux de communication digitale, les informations, qu’elles soient privées ou non, circulent de plus en plus librement. Mais quels sont les critères qui définissent une information à caractère personnel et donc privé ? Quels sont les enjeux de la collecte et du traitement et de la protection des données personnelles?

Chez Adealis, nous accompagnons les entreprises dans leurs projets de dématérialisation et d’archivage de leurs documents importants. Nous avons fait du traitement des données, l’un de nos cœurs de métier. C’est pourquoi nous vous présentons quelques-uns des points les plus essentiels à retenir sur la protection des données personnelles.

Chaque entreprise européenne doit veiller à respecter la nouvelle loi sur la protection des données personnelles.

La CNIL définit très précisément ce qu’est une donnée personnelle.

Définition du terme

Selon la directive 95/46/CE, la donnée personnelle concerne une personne physique identifiée ou identifiable directement ou indirectement. La « personne concernée » est identifiable grâce à son identité physiologique, physique, culturelle ou économique, par exemple.

Les informations suivantes sont considérées comme des données personnelles :

  • Le nom
  • Le numéro de téléphone
  • La photo
  • La date et le lieu de naissance
  • Le numéro de carte de paiement
  • Le numéro de sécurité sociale
  • L’adresse IP
  • Le comportement

Le traitement et la protection des données personnelles

Le traitement de ces données est également définit par la directive 95/46/CE. Il est désigné comme  « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

De par leur nature, certaines données sont considérées comme très sensibles et sont donc interdites de tout traitement, parmi elles on peut citer :

  • L’origine raciale et ethnique
  • Les opinions politiques
  • Les convictions religieuses et philosophiques
  • L’appartenance syndicale
  • Les données concernant la santé et la vie sexuelle

Néanmoins, ces interventions peuvent être traitées dans des cas très spécifiques. Entre autres, le consentement de la « personne concernée » ou encore l’intérêt public que peut susciter ces données par exemple dans le cadre de la sécurité publique.

Chaque entreprise européenne doit veiller à respecter la nouvelle loi sur la protection des données personnelles.

Etes-vous prêt pour la nouvelle loi GDPR?

La loi GDPR de Mai 2018 : quel impact sur les entreprises ?

Le 25 Mai 2018 la directive 95/46/CE sera abrogée par le règlement (UE) 2016/67 aussi appelé Règlement Général sur la Protection des Données (RGPD).

Cette nouvelle loi renforce les droits des citoyens européens en leur octroyant un droit d’accès à leurs données, un droit de rectification et d’opposition au traitement de leurs informations personnelles.

De manière générale, cela marque la fin du consentement présumé qui était longtemps utilisé dans les entreprises européennes.

Les actions à mettre en oeuvre pour la loi GDPR

Voici les mesures importantes que les entreprises devront mettre en place d’ici peu :

  1. La mise en place d’inventaires

A partir de Mai prochain, les entreprises devront impérativement retracer toutes les données personnelles collectées.  Le lieu de conservation, les personnes qui y ont accès, le temps de conservation, le chiffrement, les partages… tous ces éléments devront apparaitre dans un document spécialement prévu à cet effet.

Chaque entreprise européenne doit veiller à respecter la nouvelle loi sur la protection des données personnelles.

Un DPO doit être désigné parmi le personnel de l’entreprise.

  1. L’apparition de la fonction de DPO (Data Protection Officer)

Toutes les entreprises qui procèdent à des traitements de données à caractère sensible à grande échelle, ont l’obligation de désigner un chargé de la protection des données personnelles.

Dorénavant un accord explicite entre l’entreprise et la personne concernée sera exigé et collecté par ce « responsable de traitement ». Le responsable aura la charge de veiller sur les informations que votre entreprise a en sa possession.

Même si vous n’avez pas l’obligation de nommer un DPO, il est néanmoins suggéré qu’un responsable dédié à cet effet soit choisi. Cet employé sera un référent face à des interlocuteurs extérieurs tels que les avocats, les contrôleurs ou encore les services consommateurs.

  1. Revoyez vos conditions générales de vente

Passez au peigne fin toutes vos CGV et textes liés à la récupération et à la protection des données personnelles de vos données utilisateurs et veillez à les compléter et les modifier si besoin il y a.

Pour les entreprises, l’adaptation probable de leurs outils actuels nécessitera quelques investissements. Ainsi, le règlement oblige la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Votre entreprise est-elle prête pour la mise en vigueur de cette nouvelle loi ? Les sociétés qui ne s’organisent pas conformément au GDPR, risquent des sanctions. Au minimum, une amende à hauteur de 10 millions d’euros ou équivalente à 2% de leur chiffre d’affaire mondial.

Depuis plus de 20 ans, Adealis, prestataire informatique à Paris, accompagne de nombreuses sociétés dans le processus de transformations digitale. De la dématérialisation, à la sauvegarde informatique, en passant par le cloud computing, Adealis met en œuvre tous les moyens nécessaires pour améliorer l’efficacité en entreprise.