L’évolution rapide des technologies et la globalisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. Les technologies permettent tant aux entreprises privées qu’aux autorités publiques de les utiliser en grande masse dans le cadre de leurs activités.
Ceci implique que de grandes quantités de données personnelles franchissent les frontières et sont parfois stockées sur des serveurs dans différents pays.
Les échanges de données à caractère personnel entre acteurs publics et privés, se sont également intensifiés dans l’ensemble de l’UE mais aussi entre l’UE et le reste du monde.
La protection offerte par le RGPD porte sur les données en tant que telles. En effet, les règles permettant de protéger les données à caractère personnel continuent de s’appliquer indépendamment de l’endroit où sont transférées les données. Ce point s’applique également lorsque les données sont transférées vers un pays non-membre de l’UE.
Le renforcement de la sécurité de toute transmission de données à caractère personnel est devenu une obligation. Nous devons assurer la sécurité des données personnelles que nous traitons, aussi bien garantir leur confidentialité (seules les personnes autorisées y ont accès), ainsi que leur intégrité (pas de modification non autorisée), et leur disponibilité (nous devons y accéder quand on en a besoin). Sans oublier de bien s’assurer de la protection des données traitées au cours de leurs envoi entre les organismes qui se trouvent dans plusieurs pays.
De plus, la sensibilisation des utilisateurs joue un rôle très important afin que chacun puisse prendre en considération les risques liés à la vie privée et aux données personnelles traitées. Il faut s’assurer de quelques points clés lors de l’envoi des fichiers via un réseau tels que le chiffrage des données, utiliser un protocole qui garantit la confidentialité …
Prenons l’exemple de l’entreprise Meta qui regroupe les réseaux sociaux les plus utilisées – tels que Facebook, Instagram – qui ne cesse d’exploiter les données personnelles de milliers et millions de personnes dans le monde entier. Depuis décembre 2021, Meta garantit que les Etats-Unis protègent suffisamment les Données Personnelles traitées par ces applications. La CNIL irlandaise s’est prononcée sur les échanges avec les Etats Unis en dénonçant le « Privacy Shield ».
Depuis, les échanges des DPO de l’AFCDP « L’Association Française des Correspondants à la protection des Données à caractère Personnel » s’orientent principalement sur :
- L’ajout de nouvelles clauses contractuelles types afin d’accompagner légalement le transfert de données personnelles traitées entre les deux organisations.
- L’usage des outils soit gratuitement, soit à prix de préférentiels qui permettent d’identifier les données personnelles traitées qui ne devraient pas être transférées.
Le RGPD impose une obligation de sécurisation des données personnelles. Les mesures que chaque entreprise devra prendre dépendront de la nature des données et du traitement. Il faut adapter le niveau de sécurité à chaque traitement fait.
Il faut mettre en place des mesures de sécurité organisationnelles et techniques afin de s’assurer de la confidentialité, la disponibilité et l’intégrité des données.