Adopté en 2016, le règlement européen sur la protection des données personnelles entrera en application le 24 mai 2018 dans tous les pays membre de l’Union européenne. Dans un an, chaque société présente sur Internet, y compris les éditeurs et les libraires, devra assurer une protection optimale des données personnelles et être en capacité de démontrer sa conformité aux nouvelles règles, qui visent à renforcer les droits des personnes en posant un cadre juridique unifié dans l’Union.
Les libraires et éditeurs sont susceptibles de collecter des données comme les adresses IP et des informations sur les appareils électroniques utilisés, via des cookies ; les noms, prénoms, adresses postales et numériques, collectées dans un objectif commercial ; et des informations sur les cartes bancaires dans le cas d’un service de commerce en ligne. La Commission nationale de l’informatique et des libertés (Cnil) propose aux entreprises un document, disponible sur son site internet, pour les aider à se préparer à la nouvelle législation européenne. En six étapes :
1.Désigner un délégué à la protection des données, "chargé de s’assurer de la mise en conformité au règlement européen". Cette disposition n’est pas obligatoire, mais recommandée par la Cnil ;
2.Cartographier le traitement de données personnelles, en recensant les différents traitements et les catégories de ces données, les objectifs poursuivis par les opérations de traitement, les acteurs qui traitent ces données, et les flux indiquant l’origine et la destination des données ;
3.Identifier les actions à mener pour être conforme au règlement ;
4.Gérer les risques en menant une étude d’impact sur la protection des données "susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes physiques" ;
5.Organiser les processus internes pour garantir la protection des données à tout moment, "en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement de données personnelles (par exemple : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire, etc.)" ;
6.Constituer un dossier qui atteste la conformité avec la future réglementation européenne.
Cécilia Lacour
