L’enjeu du droit à l’information

Le RGPD ne peut pas être réduit à une contrainte réglementaire de plus sur le dos des entreprises. Non. C’est en réalité plus de liberté – moins de procédure administratives pour l’autorisation d’usage des données – avec la contrepartie de plus de responsabilités – dont le cadre est désormais défini par le RGPD.

Plus de responsabilité, c’est notamment – en cas de violation de données – le devoir pour une organisation d’en informer toutes personnes dont les données (traitées) sont concernées. C’est à l’article 34 du RGPD, et cela prévaut uniquement dans le cas de violation “susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique”.

Désormais, tous autant que nous sommes, fournisseurs de nos données à caractère personnel, nous serons prévenus si elles sont victimes d’une violation jugée grave. C’est notre droit à l’information. De plus, le RGPD permet d’appliquer le droit à l’effacement ou “droit à l’oubli”.

Vous voulez tout savoir sur le RGPD ?

Le droit à l’information en pratique

Reste à déterminer ce qui constitue une violation dite “grave” et à “caractère personnel”. Vous êtes une organisation qui traite des données personnelles, et sans autorisation, de façon accidentelle ou illicite, ces données ont été :

• détruites
• perdues
• altérées
• divulguées
• accédées par des individus,

et ce dans le cadre de votre activité ? Alors vous remplissez les conditions de violation importante de données à caractère personnel.
Ainsi, le règlement insiste maintenant sur le droit à l’information, impliquant de nombreuses exigences pour ces mêmes organisations.

La première est une exigence de réactivité dans les cas de piratage. L’article 33 indique que la CNIL doit également être informée au plus vite. Dans les 24 heures, une première notification doit faire état de la violation. Dans les 72 heures, une notification complémentaire doit rendre un rapport plus complet de la violation.

Ensuite, il y a évidemment un requis de mieux sécuriser ses données. Avec le RGPD, la CNIL réclame des organisations traitant des données personnelles d’agir avec prudence, en mettant en place les bonnes méthodes de sécurisation des données personnelles (chiffrement ou pseudonymisation par exemple).

Le plus intéressant, ce sont les implications qui en découlent. En effet, comment être capable de repérer une faille, une violation dans sa base de données ? Comment savoir quelles données sont concernées? Et plus encore, quels individus sont concernés ? Est-on capable de contacter ces personnes dont les données ont été piratées ?

Encore une fois, avec le principe de droit à l’information, la CNIL dirige les entreprises vers une transformation digitale plus maîtrisée. Il s’agit de s’assurer, aussi bien avec les aspects préventifs que répressifs du RGPD, que les organisations se donnent les moyens de traiter avec éthique et responsabilité les données personnelles des citoyens européens.

Par conséquent, il faut replacer au coeur de votre entreprise la connaissance de vos données, la maîtrise de vos données, et tous les principes qui résultent de la bonne gestion de ses données. De meilleures pratiques sont à employer pour réellement atteindre des objectifs de gouvernance des données.

A la clé, une entreprise qui connaît ses données s’assure une conformité réglementaire rassurante, une efficacité compétitive dans ses opérations, et la confiance de ses clients par la transparence.

Questions à se poser

• Traitez-vous des données à caractère personnel ?
• Savez-vous à qui sont ces données et où sont-elles stockées dans votre base ?
• Êtes-vous aujourd’hui capable de repérer un piratage dans vos données ?
• Avez-vous une feuille de route en cas de piratage de vos données ?
• Avez-vous appliqué des techniques de chiffrement ou de pseudonymisation de vos données ?
• Avez-vous désigné un Chief Data Officer ou un Data Protection Officer ?