Protection des données personnelles : quels sont les vrais enjeux actuels ?

Les consommateurs exigent désormais plus de confidentialité et de sécurité quant au traitement de leurs données personnelles.

Quels défis pour le responsable de traitement ?

Plusieurs défis à relever par le responsable de traitement – c’est-à-dire la personne morale ou physique qui détermine les finalités et les moyens d’un traitement – à différentes échelles :

–          gestion des informations : réduire les données collectées en établissant un contexte commercial précis, et réduire les risques en soignant les contrats ;

–          communication avec les fournisseurs : pouvoir s’apporter des solutions et s’évaluer mutuellement ;

–          suivi des traitements des données : mettre en place de mécanismes de signalement de violation des données ou des menaces concernant les fournisseurs (par exemple, si Easyjet a eu une violation de données, le responsable de traitement, intervenant dans le même secteur d’activité que la compagnie aérienne, s’il en est averti, peut réorienter ses décisions.

Quelles méthodes de gestion des risques ?

Une gestion des risques plus efficace passe notamment par une identification précise des fournisseurs, des audits préalables lors de l’intégration de nouveaux fournisseurs, une automatisation des processus d’évaluation et de contrôle, prévention des risques pour protéger les données.

Quid des cookies ?

Ils servent à recueillir des données. Leur présence est matérialisée par les bannières que vous retrouvez sur les sites internet qui vous demandent si vous consentez à la récolte de certaines données.

En résumé, il existe 3 types de cookies :

–          cookies strictement nécessaires pour le fonctionnement du site ;

–          cookies destinés à améliorer la performance et fonctionnalités du site ;

–          cookies publicitaires (qui bientôt disparaîtront, Firefox y a déjà mis fin, et Google a annoncé que Chrome ne les utiliserait plus dès 2021)

Comment récolter du consentement en ligne ?

Rappelons qu’en France, le consentement doit être libre, spécifique, éclairé, univoque (RGPD).

Néanmoins, pour en récolter, il faut que l’utilisateur comprenne à quoi il consent. Il doit recevoir des informations claires (finalité et durée de l’utilisation des cookies, liste des tiers avec lesquels les informations sont partagées etc…) et le responsable de traitement doit être particulièrement attentif à la mise en page de sa bannière.

Quel devrait être le rôle du DPD (délégué à la protection des données– ex CIL (en anglais DPO) dans une entreprise moderne ?

Si l’entreprise promeut l’éthique, l’innovation, la data, alors le DPD présente un rôle clé : il éclaire sur la collecte des données, il apporte sa vision sur les risques du point de vue des individus.

Auparavant, son rôle était purement administratif, mais aujourd’hui cela est différent, le DPD accompagne en permanence l’entreprise, mais il ne peut pas garantir à lui seul la conformité : il doit déployer une sorte de toile d’araignée au sein de l’organisation (auprès des départements digital ou marketing notamment afin de diffuser les principes essentiels.

Quelles évolutions au sein des entreprises, en terme de sensibilisation au RGPD ?

Des programmes ont été lancés pour sensibiliser au RGPD, puis lors de son entrée en vigueur, il a fallu mobiliser les entités et s’assurer de leur bonnes compétences (mises en place de e-learning en interne par exemple).

Bien qu’il semble y avoir des similitudes dans les législations, quelles divergences persistent et quels sont les défis à cet égard pour les entreprises ?

Il existe des différences techniques (en terme de durée de conservation des données, chaque pays à ses obligations) et des différences culturelles très importantes, la façon avec laquelle les interlocuteurs des différents pays prennent en charge ces sujets dépend de son histoire. Par conséquent, il est difficile de trouver des « golden rules » (= règles harmonisées).

Comment les organisations peuvent-ils tirer parti de leurs efforts de conformité ?

Une manière de reconnaitre que les entreprises ont correctement réalisé leur mission est de passer par des certifications, comme la certification HDS.

Dreyfus vous aide à vous mettre en conformité avec les nouvelles régulations.