Depuis le 25 mai dernier, toute entreprise européenne en situation de traiter des données personnelles, se doit de respecter un certain nombre de règles et bonnes pratiques.

La CNIL, qui peine déjà à faire respecter le droit français, a depuis lors, la charge de faire respecter les contraintes décrites dans le Règlement général sur la protection des données (RGPD).

Au jeu du gendarme et du voleur, elle a depuis épinglé quelques start-up, avec récemment le cas de SingleSpot, accusé d’avoir récolté massivement des données de géolocalisation sans autorisation explicite des end-users.

Comme pour Hadopi à ses débuts, ces quelques cas sont aujourd’hui des avertissements à la communauté, avec mise en demeure de balayer devant sa porte.

En attendant les vraies procédures judiciaires telles que prévues par la loi, voici quelques règles de base à respecter, pour montrer patte blanche à minima.

Désigner un délégué à la protection des données.

Le DPO, data protection officer, est un médiateur rattaché à l’entreprise qui se doit de vérifier la bonne application du droit. Salarié ou non de l’entreprise, sa mission est d’analyser, en toute indépendance, que les traitements des données personnelles sont pleinement en règle avec la RGPD. La déclaration se fait électroniquement sur le site de la CNIL.

Repérer et informer des mal-traitements des données personnelles en votre possession.

Le cas Yahoo et ses 3 milliards de comptes piratés en 2013 aura laissé des séquelles. Il est répréhensible aujourd’hui de garder secret ces fuites ou pertes d’informations, que se soit par acte de malveillance ou de négligence. Le DPO, due-ment désigné, aura pour mission d’informer les clients finaux ou les utilisateurs finaux, dans des délais prédéfinis, ainsi que de réaliser des déclarations officielles à la CNIL.

Appliquer, voire renforcer les dispositions de la loi informatique et liberté.

Datant de 1978, cette loi impose des règles strictes relatives aux données personnelles, mais qui n’ont pas toujours été bien appliquées depuis l’émergence du web. Alors même que les cookies sont obsolètes dans la course à la donnée personnelle, les bannières de politique de cookies ne suffisent plus à se dédouaner. La mise en place d’une vraie politique de transparence passe par des procédures documentées de droit à l’oubli.

La nature des traitements sur les données est aussi importante que leur sécurité.

Si la sécurisation des données est au cœur des préoccupations des industriels, un autre sujet intéresse la loi, leur traitement. Les régies publicitaires devront revoir leur méthode pour proposer des contenus adaptés à la géolocalisation des mobiles… Il est aujourd’hui indispensable de recenser précisément les différents traitements réalisés et les documenter. La nature et l’objectif de chaque donnée doit être recensée, et les acteurs concernés doivent être identifiés.