Avec le piratage informatique et l’usurpation d’identité qui gagne du terrain, la protection des données personnelles est devenue aujourd’hui une priorité majeure dans les pays européens. C’est pourquoi l’Union Européenne a instauré un règlement nommé règlement général sur la protection des données ou RGPD. Ce règlement impose des obligations auxquelles toute entreprise traitant des données personnelles de citoyens ou résidents européens doivent impérativement se conformer. Mais quelles obligations ?
Une donnée personnelle : c’est quoi ?
Il est d’abord important de connaitre ce qu’est une donnée personnelle. C’est en fait une information personnelle qui permet d’identifier un individu. Il peut s’agir d’un nom, d’une adresse, d’une adresse IP, d’un numéro de sécurité sociale, d’un numéro de pièce d’identité ou de passeport, d’une photo, etc. Ce genre de données peut tomber entre de mauvaises mains, et leurs titulaires peuvent être victimes de délits graves tels qu’une usurpation d’identité, d’un hacking, etc. Ce type de délits peut faire atteinte à la vie personnelle ou professionnelle des victimes. Et donc, afin d’éviter cela, L’Union Européenne en union avec la Commission Nationale de l’Informatique et des Libertés ou CNIL, a instauré la nouvelle loi rgpd, en vigueur depuis 2018. Cette loi stipule que toute entreprise ou organisme traitant des données issues de résidents ou citoyens européens doit s’y soumettre, qu’il soit implanté dans l’Union Européenne ou dans un autre territoire. Toute entreprise concernée, qui ne se conforme pas au RGPD 2018, peut subir une peine sévère dictée par la CNIL. Pour en savoir plus sur ce règlement, visitez le site internet www.dpms.eu.
Désignation d’un DPO
L’une des principales obligations stipulées par le RGPD est la désignation d’un DPO ou Data Protection Officer ou Délégué à la protection de données. La désignation de ce délégué est obligatoire pour un certain type d’organisme, notamment les firmes dont l'activité requiert le traitement de données personnelles à très grande échelle, genre les collectivités territoriales. Mais pour les autres types, la désignation est très recommandée. Il existe deux sortes de DPO : le DPO interne, c’est-à dire une personne qui fait partie du personnel interne de l'entreprise, et le DPO externe, qui est une personne externe à l’entreprise et qui y travaille en tant que consultant. Le DPO doit assurer plusieurs rôles à la fois. Il doit s’assurer de la sécurité optimale des données traitées par l’entreprise, en sécurisant les endroits où on les garde ainsi que les systèmes d’information où elles sont stockées. Il fera en sorte que les données qui ne servent plus à l’entreprise soient détruites. Le DPO est également en charge de la formation de tous les acteurs qui collectent et traitent les données, ce en matière de protection des données personnelles traitées. Mais encore, il se charge de la supervision de tout le processus de traitement de données, allant de la collecte à la destruction. Pour tout ce processus, chaque entreprise est tenue de mettre en œuvre des techniques organisationnelles adéquates. De plus, elle doit organiser régulièrement des autocontrôles, afin de mieux se préparer au contrôle externe effectué par les administrations compétentes.
Droits accordés aux personnes
Outre la conformité aux obligations imposées par le RGPD, les entreprises et organismes concernés doivent aussi respecter les droits des titulaires de données personnelles traitées. En effet, actuellement, les titulaires de données traitées sont protégées par le RGPD. Toute une liste de droits leur sont proférés, et la liste continue de s’accroître au fil du temps. En guise d’exemple, ces personnes ont le droit d’accéder aux données traitées, elles ont le droit d’être informées sur l’utilisation de leurs données, elles ont le droit d’opposer certaines manipulations de leurs données, elles ont le droit de demander l’effacement d’information, etc.