Background Image
Table of Contents Table of Contents
Previous Page  56 / 72 Next Page
Information
Show Menu
Previous Page 56 / 72 Next Page
Page Background

L

a donnée personnelle est aujourd’hui

considérée comme plus importante que

le pétrole. C’est pourquoi la prise en

compte de la protection des données

est essentielle et doit faire l’objet d’une

attention toute particulière au sein des entre-

prises. Les technologies avancées continuent

leur développement et sont de plus en plus

interconnectées (objets, applications, etc.). Le

projet de règlement européen, actuellement en

phase finale de négociations, devrait apporter

les garanties nécessaires à la protection des

données.

Pour mémoire, la loi «Informatique et Libertés»

telle que modifiée par la loi du 6 août 2004 a

comme principale finalité de protéger l’indi-

vidu contre l’utilisation abusive de ses données

à caractère personnel. Ainsi, une collecte de

données à caractère personnel doit être légitime,

proportionnée avec des délais de conservation en

adéquation avec la finalité de cette dernière. En

outre, indépendamment du respect des droits des

individus (information, consentement, accès,

rectification, opposition), tout responsable de

traitement de données personnelles doit mettre

en œuvre des mesures de sécurité et de confiden-

tialité. Des règles spécifiques doivent également

être instaurées en cas de transfert des données

en dehors de l’Union européenne.

Ces principes fondamentaux dans le domaine

des données à caractère personnel sont un

premier socle de conformité d’un traitement qui

doit, d’ores et déjà, être respecté au sein d’une

entreprise.

OBLIGATIONS ACCRUES DANS LE TRAI-

TEMENT DE DONNÉES PERSONNELLES

Le projet de règlement européen, texte très ambi-

tieux et complexe, s’inscrit dans la continuité

des principes fondateurs posés par la directive

95-45/CE sur la protection des données, tout en

fixant un nouveau cadre de la conformité, ce qui

induit un changement important de la pratique

du traitement des données personnelles.

Ainsi, le projet de règlement impose aux entre-

prises une nouvelle démarche dans le cadre

d’une prévention des risques, comme l’obliga-

tion de notification des failles de sécurité ou

encore l’obligation de faire réaliser des audits

pour vérifier l’adéquation et l’efficacité des

mesures mises en place.

Parmi ces principes, le plus connu est sans

doute celui de l’

accountability

ou engagement

responsable qui fait référence à l’ensemble des

mesures internes prises par un responsable

du traitement afin d’attester sa conformité à

la réglementation applicable. Ce principe est

connu, il a été instauré dans les années quatre-

vingt, notamment au Canada.

Pour le responsable du traitement, il s’agit

de prouver et de démontrer,

a posteriori

, à la

Commission nationale de l’informatique et des

libertés (CNIL) et aux personnes concernées par

leurs traitements, que le respect des disposi-

tions de la Loi « Informatique et Libertés » est

assuré. Ces mesures peuvent être des procédures

de gestion des incidents ou encore la documen-

LE PROJET DE RÈGLEMENT EUROPÉEN SUR LES DONNÉES PERSONNELLES :

UNE NOUVELLE DONNE DU

RISQUE DE NON-CONFORMITÉ

AU SEIN DE L’ENTREPRISE ?

Les enjeux de l’évaluation du risque de non-conformité dit «Informatique et Libertés» ne sont

pas nouveaux. Pour autant, à l’aune de l’adoption du règlement européen, refonte du droit de la

protection des données personnelles, l’anticipation et la gestion des risques sont plus que jamais

d’actualité.

Maître Garance Mathias,

GM Avocats

Expert du droit des affaires

et de l’accompagnement

des entreprises notamment

sur les enjeux juridiques liés

aux technologies avancées

et à la sécurité des systèmes

d’information.

Par Maître Garance Mathias

ATOUT RISK MANAGER, LA REVUE DE L’AMRAE

I N°7 I

DÉCEMBRE 2015

56

VEILLE ET POSITION