Le RGPD,
qu’est-ce c’est ?
Le règlement général sur la protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données sur tout le territoire de l’Union européenne (UE). Entré en application le 25 mai 2018, il s’inscrit dans la continuité de la loi française « Informatique et Libertés » de 1978 et a pour objectif d’établir des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. Il protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
Qu’entend-on
par « données à caractère personnel » ?
« Données à caractère personnel » est défini par le RGPD comme toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Quelles sont les principales modifications à retenir ?
Fiche n°2
Objectif : authentification des utilisateurs
Nouveauté : prise en compte de la nouvelle recommandation relative aux mots de passe et autres secrets partagés adoptée en 2022 par la CNIL. Reprise de la notion d’entropie des mots de passe, c’est-à-dire leur niveau d’imprédictibilité et donc leur capacité de résistance à une attaque.
Fiche n°4
Objectif : information sur la traçabilité des opérations et la gestion des incidents via la journalisation
Nouveauté : Nécessité d’une utilisation appropriée et d’une conservation sécurisée de ces éléments sur une période glissante de six mois à trois ans maximum selon les cas.
Fiche n°12
Objectif : encadrement des développements informatiques à destination des DSI
Nouveauté : insertion de l’intégration de la protection des données (y compris des exigences en termes de sécurité des données dès la conception) et du fait d’éviter le recours à des zones de texte libre ou de commentaire.
Fiche n°15
Objectif : sécurisation des échanges avec d’autres organismes
Nouveauté : ajout d’une précaution liée au chiffrage des données avant leur enregistrement sur un support physique à transmettre à un tiers.
Fiche n°17
Objectif : hachage et chiffrement de la signature électronique
Nouveauté : nécessité d’actualiser les algorithmes à utiliser et ajout d’une précaution liée à l’utilisation de tailles de clés suffisantes.
Quelles sont les principales modifications à retenir ?
La ligne directrice sur la notification des violations de données s’articule autour de 4 axes incontournables à respecter dans le cadre du traitement d’une violation de données à caractère personnel :
1
L’évaluation de la violation des données
2
La notification aux clients concernés
4
La notification aux autorités compétentes
5
Les mesures de remédiation à mettre en œuvre
Clarification de
la procédure à suivre par les entreprises localisées en dehors de l’espace économique européen
Communication de la liste des liens et coordonnées pour déclarer une violation de données auprès de chacune des autorités de l’EEE, ainsi que les langues acceptées.
Obligations de transparence et d’accès aux données personnelles des particuliers conservées par les entreprises. Mise en place obligatoire de processus appropriés pour assurer cet accès aux données personnelles.
Le droit d’accès n’est soumis à aucune réserve générale de proportionnalité ; autrement dit, l’entreprise doit fournir les mêmes efforts de restitution des données personnelles, quelle que soit la quantité conservée.
L’accès aux données ne doit pas porter atteinte aux droits et libertés d’autres personnes. (nécessité d’assurer l’omission ou l’illisibilité de certaines informations qui pourraient affecter négativement les droits d’autrui)
Mises à jour des lignes directives
sur l’autorité chef de file
Précision de la notion d’établissement principal (lieu de l’administration centrale), permettant l’identification d’un seul responsable de traitement de données par entreprise et par pays. L’autorité de protection des données du pays où se trouve le siège principal d’une société, dite « autorité chef de file », est l’interlocutrice privilégiée pour le dépôt d’une plainte ou pour mener des actions répressives en cas de manquements
Harmonisation au niveau européen des décisions des autorités de protection des données concernant les traitements transfrontaliers
Mise à jour de la ligne directive sur l’utilisation de la technologie de reconnaissance faciale par les autorités répressives et judiciaires
Nécessité d’une base légale adéquate et d’une autorisation spécifique pour traiter des données biométriques liées à l’identification des personnes
Nécessité d’allouer des ressources suffisantes aux autorités de protection des données, afin de garantir la protection des droits des personnes concernées
Vigilance sur les risques liés aux biais humains dans le traitement des résultats (préjugés, jugements, erreurs pouvant survenir lorsqu’une personne interprète ou analyse des données
