« Le règlement général sur la protection des données » est entré en application le 25 mai 2018
Le RGPD harmonise la gestion des données dans les différents pays de l’UE. Il permet plus de transparence et donc plus de confiance dans le monde numérique. Il concilie protection du droit des personnes et libre circulation des données au sein de l’Union Européenne.
Pourquoi est-ce important ?
Parce que le montant des sanctions est devenu très important pour les entreprises non conformes et peut aller jusqu’à 4{c8b2bdb590ab5d3241f57596dcb666f1744d257dfd4a3bf50cf128a40f6143f4} du chiffre d’affaires mondial de l’entreprise concernée.
Rappelons tout d’abord que ce règlement européen est applicable à l’ensemble des entreprises qui traitent des données à caractère personnel et pas seulement aux institutions financières.
Qu’est-ce qu’une donnée à caractère personnel ?
Une donnée à caractère personnel est une information qui permet d’identifier une personne ou de la reconnaître de manière directe ou indirecte comme une date de naissance, une adresse postale, une adresse électronique, l’adresse IP d’un ordinateur, un numéro de téléphone, un numéro de carte de paiement, une plaque d’immatriculation d’un véhicule, une empreinte digitale, un numéro de sécurité sociale…
Les établissements financiers traitent donc un volume conséquent de données à caractère personnel.
Quels sont les points majeurs de ce règlement européen ?
1° tout d’abord la définition de la finalité des traitements
La définition de la finalité d’un traitement de données personnelles est très importante car les établissements financiers vont devoir recueillir le consentement des personnes concernées sur la finalité du traitement des données qui les concernent.
Si la finalité change, il faudra recueillir le consentement des personnes concernées sur la nouvelle finalité. Par exemple, si l’on recueille les données des clients pour gérer leur compte, et que le consentement des clients n’a été recueilli que pour cette finalité, si la banque souhaite envoyer aux clients de la documentation marketing, il va falloir recueillir leur consentement sur cette nouvelle finalité.
Ce consentement devra être un acte positif (pas de consentement par défaut).
2° le traitement des droits des personnes concernées
De nouveaux droits apparaissent pour les personnes concernées ainsi que l’obligation de la mise en place d’un dispositif pour l’exercice de ces droits (droit d‘information, de rectification, d’opposition au traitement des données…).
3° la nécessité de prévenir le client sans délai en cas de soupçon de violation de données à caractère personnel
Par exemple suite à l’intrusion sur un système informatique.
4° le transfert des données hors UE
5° la cohérence des durées d’archivage par rapport aux finalités
Il faut vérifier que la durée d’archivage des données est cohérente avec la finalité pour laquelle on a recueilli le consentement des clients.
6° la vérification que les entreprises qui réalisent en sous-traitance de l’établissement financier des traitements de données à caractère personnel respectent bien le RGPD
7° la mise en place d’un registre des traitements
Cette disposition remplace les obligations antérieures de déclaration à la CNIL.
8° Enfin, la mise en place d’un Data Protection Officer ou délégué à la protection des données
Ce DPO est le véritable chef d’orchestre du dispositif. Il doit évidemment connaître cette réglementation, former les équipes, s’assurer de la conformité des dispositifs et être l’interlocuteur unique de la CNIL.
Marie-Agnès Nicolet
Retrouvez la vidéo ici.