Les enjeux relatifs aux données personnelles

Responsabilités et obligations dans la gestion des données personnelles

La donnée est désormais un élément essentiel de valorisation pour toutes les organisations.

 

La donnée (dite brute) est un bien insusceptible d’appropriation, mais dont la circulation (collecte, traitement, diffusion) est réglementée.

 

Se conformer au cadre légal, en particulier le Règlement général sur la protection des données (dit le « RGPD », Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données), permet de capitaliser sur la valeur de ses data et de protéger son image de marque.

 

A l’inverse, le défaut de conformité expose les organisations à des risques de sanction et d’image importants.

 

Difficultés croissantes dans le traitement des données sensibles

Principalement, les enjeux relatifs aux données personnelles se multiplient et il est de plus en plus dur pour les organisations d’encadrer le traitement des données personnelles qu’ils possèdent.

 

D’abord, les données personnelles sont susceptibles d’être utilisées pour surveiller, profiler, influencer ou discriminer des personnes concernées, portant donc atteinte à leur liberté de choix mais surtout à leur vie privée.

 

Risques de sécurité et de confidentialité

De plus, les données personnelles sont souvent exposées à des menaces qui contribuent à la remise en cause de la confidentialité, l’intégrité et la disponibilité des données.

 

Cela augmente les risques de sécurité et de confidentialité et remettent donc en cause la réputation des responsables de traitement qui risquent ne plus être crédibles face à leurs clients lorsqu’ils ne sauront pas gérer ces problèmes de sécurité.

 

Tout se joue sur la confiance qu’éprouve le client envers son responsable de traitement.

 

Conséquences légales pour les responsables de traitement

En outre, tout responsable de traitement est, en principe, responsable de l’utilisation légale des données personnelles qu’il traite.

 

En conséquence, l’utilisation à des fins illégales des données personnelles peut engager la responsabilité civile ou pénale de ces derniers ce qui portera atteinte à, encore une fois, la confiance et la réputation des responsables de traitement ou, dans certains cas, des sous-traitants.

 

Manque de connaissance et pratiques inappropriées en matière de données

Ces risques découlent souvent du fait que les responsables de traitement n’ont pas réellement conscience de leurs obligations et des conséquences de leur non-respect à ces obligations.

 

Ce faisant, ils ne font que méconnaitre les lois et les règlements en vigueur et par conséquence n’ont pas les bons réflexes comme la mise en place de procédures internes et externes de conformité, d’une documentation et de sa traçabilité, etc.

 

Plus concrètement, une collecte excessive ou injustifiée des données, une utilisation abusive ou détournée, une conservation prolongée ou inutile, une divulgation non autorisée ou non contrôlée par le responsable de traitement font place à une violation de la vie privée des individus.

 

Lorsque le responsable de traitement n’établit pas suffisamment de mesures de sécurité techniques et surtout, organisationnelles, lorsqu’il ne gère pas au mieux le droit d’accès à un certain nombre de données qu’il traite, lorsqu’il ne met pas en place de formation ou sensibilisation aux personnes qui ont accès aux données personnelles, il met à risque la sécurité des individus.

 

Evaluer votre organisation

Pour une évaluation de la situation de votre organisation, voici les questions que vous devez vous poser :

• Avez-vous la preuve de votre conformité au RGPD ?
• Votre registre des activités de traitement est-il à jour ?
• Avez-vous contrôlé la conformité de vos sites web ?
• Existe-t-il, au sein de votre organisation, une cartographie des risques ? Avez-vous effectué une analyse d’impact ?
• Avez-vous audité vos sous-traitants et encadré votre relation ?
• Avez-vous déterminé des mesures de sécurité que vos sous-traitants doivent respecter à minima ?

Ces questions méritent d’être posées pour prévenir, au mieux, vos risques en matière de données personnelles.

Les mesures essentielles pour la sécurité des données

Il est impératif de mettre en œuvre des mesures et des précautions, en fonction de l’activité de l’organisation, en matière de sécurité de données personnelles.

 

Cette obligation incombe aux responsables de traitement comme aux sous-traitants impliqués.

 

Essentiellement, il convient de définir les personnes qui ont accès aux données et limiter cet accès.

 

De plus, il faudra réussir à tracer les opérations réalisées afin de conserver les actions entreprises à l’égard des données.

 

Avoir une vision organisationnelle bien établie permet de gérer, de manière appropriée et comme il se doit, les systèmes qui gèrent les données personnelles.

 

Si vous souhaitez évaluer votre niveau de maturité au RGPD, nous avons créé un outil d’auto-évaluation.

 

S’auto-évaluer

Recommandations

Afin de conserver au mieux la crédibilité et la confiance envers les individus qui consentent au partage de leurs données, il est recommandé d’être bien informé sur les flux de données personnelles, que ce soit pour leur conservation, leur transmission ou pour leur traitement.

 

Cela implique d’être conscient des différents enjeux qui découlent d’une non-conformité au règlement et des conséquences que peut subir la personne dont la donnée a été mal gérée.