[8 novembre 2017] Il n’est pas trop tard pour vous intéresser à la GDPR. Au contraire ! Le vent de folie « avant 25 mai 2018 » ne va pas durer et avec lui, nous oublions vite les discours alarmistes des « nouveaux spécialistes » de la matière et leurs tissus d’âneries et de précipitations contre-productives. Précipitation et effet marketing conjugués sont mauvais conseillers… Alors, oui, Il est temps de s’intéresser à ce Règlement UE n°2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel. Et pourquoi ne pas en profiter pour dresser un premier bilan sous forme de synthèse et de points d’audit ? Vous trouverez dans la présentation en BD ci-dessous «GDPR-RGPD synthèse et audit-formation Ledieu-Avocats 8 novembre 2017» une réponse à vos principales interrogations. Si vous retenez tout, vous saurez l’essentiel !
Premier chapitre : ce que sont (vraiment) les « données à caractère personnel ». 1 idée forte à retenir : le professionnel qui sait identifier un terminal, même sans connaitre le nom et le prénom de son utilisateur, traite des données à caractère personnel !
Passage préalable et obligé : un peu de mise en perspective. Le « problème » des données personnelles a moins de 20 ans. Pour capter le changement de paradigme qu’impose la GDPR, il faut comprendre l’évolution de la technique et du droit. Si vous maitrisez le « pourquoi » de cette règlementation, vous en retiendrez plus facilement le « comment ».
Chapitre 3 : les bases pour répartir le rôle de chacun. Vous êtes RESPONSABLE de traitement ? SOUS-TRAITANT ? vous êtes RESPONSABLE CONJOINT ? Ce serait bien de choisir AVANT de procéder au traitement…
Le chapitre 4 nous propulse dans le coeur de la GDPR. Commençons par la définition de la notion de « profilage », véritable révolution pour celles et ceux qui traitent des données personnelles. C’est l’occasion de se pencher sur du juridique pur et dur : quelle base juridique obligatoire pour vos traitements ? AVEC ou SANS consentement ? Et tant qu’on y est, regardons les « droits GDPR » pour comprendre ce qui doit effectivement s’appliquer, et à quel traitement.
Chapitre 5 : la réalité du DPO (qui il est ? ce qu’il doit faire ?) – le « registre des activités de traitement » ? Facile… Voyons surtout le détail de l’obligation de sécurisation des traitements de données. C’est la partie de la GDPR qui intéresse le plus les DSI / RSSI. Pourtant, en plus de ces obligations purement techniques, la CNIL controle aussi les impacts juridiques de cette obligation de sécurité. Ben oui, si le contrat ne prévoit rien entre un responsable de traitement et son sous-traitant, sur qui pèse l’obligation de sécurisation ? Et si vous voulez creuser l’obligation de sécurisation des systèmes d’information, vous pouvez accéder à ma présentation spécifique du 1er octobre 2018 sur le sujet précis.
Chapitre 6 : la théorie, c’est bien, la pratique, c’est encore plus interessant. Alors, si vous avez aimé les principes techniques de l’obligation de sécurité, vous (re)découvrirez avec intérêt la jurisprudence de la CNIL depuis 2014. Rien que de janvier à septembre 2018, 5 délibérations de sanction pécuniaire !!! Profitons-en pour regarder les déclarations de « faille de sécurité/fuite de données » ?
Pour conclure ce chapitre essentiel, n’oublions pas

• le régime des transferts de données HORS UE.
• un rappel des pouvoirs d’enquête et de sanction de la CNIL.

Chapitre 7 et final : quelques points de détail, s’il vous reste des forces : les études d’impact et la notion de « droits et libertés des personnes »…

[wonderplugin_gallery id= »149″]

Merci à Sébastien Le Foll et Lucie Massena des Editions Delcourt / Soleil pour me permettre de rendre accessibles ces législations toujours plus compliquées.