À moins de trois mois de l’entrée en vigueur du RGPD, les prestataires et les éditeurs de logiciels sont prêts aux changements.
Le Règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018, Opal vous accompagne dans la mise en conformité de cette loi en vous proposant des solutions compatibles avec les exigences du futur règlement.
La gestion des données et du contenu des sociétés demandera plus de finesse permettant la dissociation des informations à caractère personnel ou non. De plus, un effort de synthèse des informations de l’entreprise sera nécessaire afin de faciliter les traitements et les workflows de la société.
En résumé, le RGPD entraîne la suppression de l’obligation de déclaration à la CNIL. La conséquence sera qu’en cas de contrôle, l’entreprise devra démontrer la preuve de sa conformité à la nouvelle loi. Pour les sociétés de plus de 250 collaborateurs et pour les sociétés dont le métier est le traitement de données personnelles (cf. article 37 de la loi) il leur incombe la nomination d’un délégué à la protection des données.
« Quand le RGPD bouleverse la relation entre l’entreprise et ses prestataires informatiques
Tribune – D’ici le 25 mai prochain, le Règlement européen Général sur la Protection des Données (RGPD) imposera de nouvelles contraintes aux entreprises et à leurs sous-traitants, concernant le traitement des données à caractère personnel. Pour faire face à leurs obligations, les acteurs du digital et de la data, notamment, devront revoir leur copie. Mais, derrière la contrainte apparente se dissimule une belle opportunité de se distinguer… Par Maître Olivier Iteanu, avocat spécialiste du droit des technologies de l’information.
“Data processor” : les sous-traitants informatiques mis à l’amende
Avec le RGPD, les déclarations à la CNIL vont disparaître : l’entreprise deviendra ainsi seule responsable des données qu’elle détient. Un changement des mentalités doit donc s’opérer au sein des organisations, qui passe par l’obligation de mettre en œuvre des mécanismes et des procédures internes, permettant de démontrer le respect des règles relatives à la protection des données. Mais, la véritable révolution du RGPD, dont on parle assez peu finalement, c’est qu’il vient introduire la notion de “data processor” dans la réglementation sur l’informatique et les libertés.
Concrètement, si une entreprise délègue une partie de ses données à un sous-traitant, ce dernier aura les mêmes obligations qu’elle concernant leur traitement. Cela touche potentiellement un grand nombre de prestataires informatiques, tels que les hébergeurs, les fournisseurs d’applications Cloud, les éditeurs de logiciels en mode SaaS… Et cela même si ces derniers se situent hors de l’Union européenne. Ils seront ainsi soumis au contrôle de la CNIL et aux contraintes du nouveau règlement.
Le traitement de données passé au filtre juridique
Les prestataires devront donc recenser tous les traitements de données personnelles, pour eux, mais aussi pour les entreprises donneuses d’ordres et leurs clients : cartographie, identification… Cette phase sera soumise à un premier filtre juridique, afin de vérifier leur caractère licite, selon des critères associés à la provenance des données ou au consentement des personnes. Puis, un second filtre permettra d’observer qui en est responsable et le prestataire devra s’assurer qu’il apporte à son client les garanties nécessaires en matière de respect des données personnelles. Enfin, un dernier filtre attestera de la conformité de son contrat fournisseur.
Chaque société devra également établir des registres internes pour évaluer le taux de risque des traitements et fournir des livrables. Même si l’Union européenne en dispense les entreprises du secteur privé de moins de 250 salariés, il est pourtant vivement recommandé de s’y conformer. L’organisation profitera ainsi d’une meilleure connaissance de ses actifs, ce qui peut être très structurant pour son activité.
Quand une obligation se transforme en opportunité
Il est également préconisé d’organiser des ateliers sur différentes procédures à mettre en place en interne, en cas de failles de sécurité ou de violation des données à caractère personnel. En effet, si le responsable de traitement au sein de l’entreprise doit notifier à la CNIL l’un de ces risques dans les 72 heures, le “data processor” a l’obligation d’en informer son client directement, sans plus passer par l’organisme de régulation, et ce, dans les meilleurs délais. De ce point de vue, le RGPD va bouleverser la relation entre le client et le prestataire informatique.
Toutefois, ce nouveau règlement présente un atout non négligeable pour tous les acteurs du digital et du Big Data, français ou européens, par rapport à leurs concurrents extra-européens, beaucoup moins sensibilisés au RGPD. Dans le monde anglo-saxon, certaines grandes entreprises de la sphère IT piétinent déjà sur la Loi Informatique et Libertés, se retrouvant régulièrement sanctionnées par la CNIL. En Europe, c’est désormais toute la chaîne de données qui sera concernée par le RGPD : si un maillon n’est pas conforme, tout le monde est responsable ! Ainsi, les sous-traitants informatiques et autres acteurs de la donnée seront scrutés à la loupe avant d’être choisis comme prestataires. Charge à eux de se mettre rapidement en conformité avec le règlement européen, qui deviendra alors un véritable avantage concurrentiel. Cette obligation vertueuse, à la fois légale et éthique, peut donc s’avérer payante ! »
, par La Rédaction
