Précisions sur le Réglement Général sur la Protection des Données
Le règlement général sur la protection des données est entré en application le 25 mai 2018. Regulation Partners, cabinet de conseil, revient sur cet événement important de la législation européenne.
Pourquoi est-ce important ?
Parce que le montant des sanctions est devenu très important pour les entreprises non conformes et peut aller jusqu’à jusqu’à 4% du chiffre d’affaires mondial de l’entreprise concernée
Rappelons tout d’abord que ce règlement européen est applicable à l’ensemble des entreprises qui traitent des données personnelles et pas seulement aux institutions financières
Qu’est-ce qu’une donnée personnelle ?
Une donnée à caractère personnel est une information qui permet d’identifier une personne ou de la reconnaitre de manière directe ou indirecte comme une date de naissance, une adresse postale, une adresse électronique, l’adresse IP d’un ordinateur, un numéro de téléphone, un numéro de carte de paiement, une plaque d’immatriculation d’un véhicule, une empreinte digitale, un numéro de sécurité sociale…les établissements financiers traitent donc un volume conséquent de données personnelles.
Quels sont les points majeurs de ce règlement européen ?
- Tout d’abord la définition de la finalité des traitements. La définition de la finalité d’un traitement de données personnelles est très importante car les établissements financiers vont devoir recueillir le consentement des personnes concernées sur la finalité du traitement des données qui les concernent. Si la finalité change, il faudra recueillir le consentement des personnes concernées sur la nouvelle finalité (par exemple si l’on recueille les données des clients pour gérer leur compte, et que le consentement des clients n’a été recueilli que pour cette finalité, si la banque souhaite envoyer aux clients de la documentation marketing, il va falloir recueillir leur consentement sur cette nouvelle finalité). Ce consentement devra être positif (pas de consentement par défaut)
- La cohérence des durées d’archivage par rapport aux finalités. Il faudra vérifier que la durée d’archivage des données est cohérente avec la finalité pour laquelle on a recueilli le consentement des clients.
- La nécessité de prévenir le client sans délai en cas de soupçon de violation de données personnelles, par exemple suite à l’intrusion sur un système informatique
- La vérification que les entreprises qui réalisent en sous-traitance de la banque des traitements de données personnelles respectent bien le règlement sur la protection des données
- La mise en place d’un registre des traitements. Cette disposition remplace les obligations antérieures de déclaration à la CNIL.
- Le traitement des droits des personnes concernées, ce qui nécessite de mettre en place des dispositifs permettant de répondre aux demandes par exemple d’effacement des données (droits à l’oubli) ou de rectification des données personnelles
- Enfin, la mise en place d’un Data Protection Officer ou délégué à la protection des données, véritable chef d’orchestre du dispositif qui doit évidemment connaître cette réglementation, former les équipes, s’assurer de la conformité des dispositifs et être l’interlocuteur de la CNIL