À partir du 25 mai 2018, les entreprises et organismes traitant des informations personnelles doivent se conformer à la nouvelle réglementation européenne RGPD (Règlement Général sur la Protection des Données).
Êtes-vous concerné ? Que devez faire pour respecter cette loi ?
Voici un petit question/réponse pour y voir un peu plus clair !
Le RGPD, pour quoi faire ?
Ce nouveau règlement européen a pour but d’offrir aux habitants de l’UE de meilleures garanties de sécurité et un plus grand contrôle sur leurs données personnelles en légiférant sur plusieurs axes :
- Renforcement du droit des personnes
- Responsabilisation des entreprises pour les pousser à un contrôle accrue de leurs données
- Augmentation des sanctions en cas de non-respect
- Uniformisation pour l’ensemble de zone UE
Les entreprises concernées si voient imposer une logique de responsabilisation en contraignant le responsable du traitement à prendre toutes les mesures requises pour garantir la conformité du traitement.
Quelles sont les données dites personnelles ?
Toute donnée permettant d’identifier une personne, directement ou indirectement, est considérée comme personnelle. La liste, assez longue et non exhaustive, comprend donc :
- Nom
- Prénom
- Adresse
- Date de naissance
- Géolocalisation
- Adresse IP
- Identifiant
- Mot de passe
- Habitude de consommation
- …
Qui est concerné ?
Tout organisme ou entreprise collectant ou traitant des données personnelles de citoyens de l’UE est concerné par le RGPD.
Que ce soit dans votre logiciel de facturation, votre site e-commerce ou un simple fichier Excel répertoriant des adresses de client, vous vous devez de faire respecter cette nouvelle réglementation. Quel que soit l’outil informatique utilisé, si celui-ci contient des données personnelles, il est concerné par l’application de la loi.
Quelles obligations ?
Pour être en conformité, vous devez respecter un certain nombre de règles, parmi lesquelles :
- Information : Vous devez communiquer sur les raisons de la collecte et le traitement des données aux personnes concernées ainsi que le délai avant destruction des données.
- Consentement : Vous devez recevoir un accord clair de personnes concernées pour pouvoir traiter leurs données et permettre une opposition aux traitements en cas de demande.
- Droit à l’oubli : Les personnes concernées doivent pouvoir obtenir la suppression définitive de leurs données personnelles sur simple demande.
- Protection : Vous devez garantir la sécurité des données sensibles (santé, ethniques, religieuses, politiques, …).
- Alerte : En cas de constatation d’une violation des données personnelles, vous devez en notifier l’autorité de protection des données (CNIL) sous 72 heures.
- Registre : Dans certain cas, vous devez tenir un registre des traitements complet et actualisé.
Comment mettre en place le RGPD ?
La mise en place du RGPD est assez complexe, faire appel à un DPO ( Data Protection Officer, Délégué à la Protection des Données en français) sera nécessaire si vous faites des traitements de données à grande échelle, pour les autres il est nécessaire rapidement faire un état des lieux des données personnelles que vous stockez, utilisez ou collectez.
Dans un premier temps, nous vous conseillons de recenser tous les traitements de données personnelles et répondre à ces quelques questions pour bien analyser votre situation :
- Où sont stockées vos données ?
- Quelle utilisation avez-vous de ces données ?
- Combien de temps gardez-vous les données sur vos systèmes ?
- Le traitement que vous en faites est conforme avec les règles dictées par le RGPD ?
- Les données sont bien sécurisées ?
À partir de ce point, vous pourrez plus facilement identifier les actions à mener pour entrer en conformité avec le RGPD.
Pour vous faciliter la tâche, la CNIL publie de nombreux articles assez complets et pratiques :
Vous pouvez également regarder cette vidéo tutoriel pour mieux comprendre le RGPD :
Quels risques ?
L’un des principes de cette réglementation européenne est la responsabilisation des acteurs des traitements de données. Dans le cas d’une défaillance, les autorités de protection auront un panel de sanctions allant de l’avertissement ou la mise en demeure de l’entreprise jusqu’à des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du CA annuel mondial d’une entreprise et obligation de réparation des préjudices causés. Ces dernières sanctions étant prononcées uniquement dans de rares cas d’une gravité extrême, pour la plupart des entreprises sanctionnées le risque de suspension des traitements peut-être fortement préjudiciable en termes de productivité et d’image renvoyée.
Nous vous recommandons …
Nous ne pouvons que vous conseiller de vous préparer au plus vite pour être prêt avant la date fatidique du 25 mai 2018.
Nous pouvons vous accompagner pour analyser l’ensemble des traitements de données personnelles de votre entreprise et établir une liste d’action à mener pour vous mettre en conformité. N’hésitez pas à utiliser le formulaire de contact ci-dessous ou contacter votre interlocuteur habituel chez INEÏ.
