Données personnelles : se préparer au projet de règlement européen

Données personnelles : se préparer au projet de règlement européenDonnées personnelles, « il faut se préparer au projet de règlement européen », telle est la recommandation faite par Me Alain Bensoussan.

Alain Bensoussan interviewé par Luc Fayard pour le site My DSI TV d’Accenture.

Avec le futur règlement européen, la dimension de protection des données personnelles et de la vie privée devra être intégrée dès la conception d’un projet informatique, selon une démarche « Privacy by design ». Elle devra également apporter toute garantie de conformité à la loi, selon le principe d’ « Accountability ».

Le projet de règlement poursuit deux objectifs : la transparence et la traçabilité des données personnelles.  Ces objectifs vont se traduire par de nouvelles obligations pour la Direction des systèmes d’information qui devra faciliter le bon usage des données personnelles et informer sur les caractéristiques des données et leurs conditions de diffusion.

En ce qui concerne la conception des projets informatiques, il deviendra obligatoire de mettre en place une politique « Pricacy by design » pour tous les produits, services et systèmes exploitant des données personnelles (article 23 du projet de règlement).

En ce qui concerne la garantie de conformité à la loi, elle implique l’obligation :

– d’adopter des règles internes « Accountability » (article 22 du projet de règlement) ;
– de tenir la documentation ;
– de mettre en œuvre des obligations en matière de sécurité ;
– de réaliser une analyse d’impact.

Le DSI doit donc anticiper le projet de règlement européen dont l’adoption est prévue en 2016, sur la protection des données personnelles, au risque de ne pas pouvoir démarrer dans deux ans ses applications en projet, si elles ne sont pas conformes. Quelques conseils s’imposent :

  • la mise en oeuvre d’une coopération entre les services juridiques et informatiques ;
  • la mise en place d’une politique SIF (sensibilisation, information, formation) ;
  • la réalisation d’un audit Informatique et Libertés pour évaluer le niveau de conformité ;
  • la mise en place d’une équipe dédiée (« data pricacy officer »).

 

Retour en haut