Relativement à la protection des données personnelles et aux nouveaux droits des personnes sur les données captées par l’administration et les entreprises, le règlement général pour la protection des données est au cœur de la protection de la vie privée et des libertés individuelles.
Le RGPD est un règlement Européen entré en vigueur en mai 2018 dans les 28 Etats d’Europe. En France il prolonge et amende la loi Informatique et Libertés (LIL) de 1978. Les personnes ont de nouveaux droits d’accès, de modification, de retrait des données personnelles qu’elles on confiées aux organisations qui vont les traiter. En particulier elles doivent systématiquement donner leur consentement éclairé sur l’utilisation qui sera faite de leurs données. Les doléances des personnes peuvent être portées directement devant la CNIL.

Garante du respect du règlement sur le territoire Français, la CNIL (Commission Nationale Informatique et Liberté) est en charge de faire respecter le RGPD en France mais aussi dans le monde entier en ce qui concerne le traitement des citoyens Français. A ce titre elle peut infliger de lourdes amendes aux entreprises et organisations qui ne respecteraient pas la lettre ou l’esprit du RGPD. Non seulement aux organisations situées en France, mais aussi par extension aux entreprises internationales qui conservent et traitent des données de citoyens Français, en particulier les GAFAM.

Pour les organisations la logique change radicalement. Elles n’ont plus à déclarer leurs fichiers à la CNIL comme elles l’avaient fait jusqu’alors. A l’inverse, elle doivent se responsabiliser et prendre toutes les mesures pour démontrer en cas de contrôle qu’elles ont bien cartographié leurs traitements et pour ceux qui portent sur des données à caractère sensible ou très volumineuses, qu’ils ne présentent pas de risques de perte ou de vol.

Démontrer sa conformité en cas d’audit de l’autorité de contrôle devient donc l’objectif principal de la mise en conformité. Cet objectif peut être atteint par la mise en place d’un système de gestion de la protection des données à caractère privé audité et vérifié régulièrement. Chaque organisation doit non seulement effectuer ces vérifications pour elle même mais aussi pour ses sous-traitants, de manière contractuelle.

Ainsi la protection des données est indissociable de la protection des systèmes qui les stockent et les traitent, comme le montre la présentation ci-après.