Voici un article récapitulatif concernant le RGPD (et non la RGPD….) et comment votre entreprise peut être impacté par ce nouveau règlement.
Signification
Le RGPD signifie : Règlement Général sur la Protection des données (ou en anglais General Data Protection Regulation, GDPR), elle est issue d’un règlement Européen.
Qui est impacté ?
Il concernera toutes les sociétés, associations, pouvoirs publics des pays de l’Union Européenne ainsi que les sociétés établies à l’étranger si elles ciblent des résidents de l’UE par profilage, ou si elles proposent des biens et services à ces derniers.
Le But
Harmoniser la gestion des données informatiques des pays de l’UE pour toutes les sociétés, associations, etc. afin de protéger les données personnelles* des résidents de l’UE, notamment les données sensibles*.
L’UE souhaite donner plus de visibilité et de contrôles à ses concitoyens concernant le traitement et la conservation de leurs données personnelles* qui sont détenus par les sociétés (on pense notamment à Facebook, Google, Amazon, etc) que celle-ci soit des multinationales ou des TPE ou des e-commerçants (outils de gestion de fidélité ou de marketing par exemple).
Un citoyen pourra interroger une société pour savoir quelles données celle-ci possède sur lui, dans quel but etc.
*Données personnelles : toutes informations se rapportant à une personne physique identifiée ou identifiable (nom, prénom, numéro de sécu, identifiant en ligne, etc.).
*Données sensibles : race, ethnie, idées politiques, philosophiques, orientation sexuelle, religion etc.
Date d’application
À compter du 25 mai 2018.
Sanction
4% du chiffre d’affaires annuel mondial ou 20 millions d’Euros PLUS des dommages et intérêts si non-respect du RGPD. C’est un dispositif beaucoup plus dissuasif que par le passé et les sanctions ont drastiquement augmenté.
Ce qu’il faut mettre en oeuvre
– Accountability (ou Responsabilisation ou obligation de rendre compte)
L’entreprise doit prendre les mesures pour se conformer au RGPD et doit démontrer qu’elle protège bien ses données personnelles (en cas de contrôle de la CNIL notamment). La société doit prouver qu’elle a bien tout mis en place pour protéger les données de ses utilisateurs.
– Privacy by design (ou Protection dès la conception)
Si un nouveau produit informatique (logiciels, applications, codes…) est créé, il doit prendre en compte les règles déjà mises en place et ne pas les ignorer. Lorsqu’un nouveau produit est créé, l’entreprise doit expliquer pourquoi elle doit obligatoirement collecter des données afin d’éviter les abus.
– Security by défault (ou protection par défaut)
Renforcer la sécurité d’accès aux données personnelles en se posant les bonnes questions : qui y accède ? Comment ? Par des moyens physiques ou informatiques ?
– Data Protection Officer DPO (ou la personne en charge de la protection des données)
La société désigne une personne qui sera en charge de la protection des données. Cette personne peut être un prestataire externe. Ses missions sont : d’informer la société et ses employées sur l’utilisation des données, respecter le RGPD, coopérer avec la CNIL en cas de contrôle, réaliser une étude d’impact. Cette désignation n’est pas forcément obligatoire, mais vivement conseillée.
Avant la nomination d’un DPO, les questions à se poser sont :
Vos activités de base consistent-elles en des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ?
Vos activités de base consistent-elles en un traitement à grande échelle de catégories particulières de données ou de données relatives à des condamnations pénales ou à des infractions ?
– Étude d’impact
Vérifier les données personnelles possédées par la société.
Comment le mettre en oeuvre (concrètement) ?
Dans le cadre d’une collecte de données, il faudra mettre en place des mentions d’information en indiquant qui collecte les informations, le temps de conservation des données, la finalité des données et les informer sur leurs droits.
Par exemple, dans un le cas d’un cabinet de recrutement, vous pouvez intégrer ce modèle de mention
D’autres modèles sont mis à la disposition par la CNIL.
Les 6 étapes essentielles à respecter
(Cette partie est un essentiel de ce qu’il y a été décrit précédemment)
1re étape
Nommer un DPO. Si vous faîtes de la collecte de données, il faudra nommer une personne extérieure compétente dans ce genre de domaine.
2e étape
Cartographier les traitements de données personnelles. Vous devez savoir comment vos données collectées sont exploitées, par qui, comment, etc.
3e étape
Prioriser les actions à mener pour être en conformité et le rester.
4e étape
Gérer les risques. Si les données collectées sont à haut risque (ou que vous pensez qu’il y a un risque), il faut analyser votre méthode via une PIA (c’est un outil d’évaluation d’impact sur la vie privée), La CNIL fournit ce type d’outil un à titre gratuit.
5e étape
Organiser les processus internes. Dans la continuité des efforts faits précédemment, vous devez être à même de maintenir une sécurité optimale.
6e étape
Documenter la conformité. Regrouper tous les documents prouvant votre conformité à la RPGPD.
La CNIL détaille ces 6 étapes clefs à respecter et expliquent, plus en détail, les actions à mener.
Avant de commencer toute démarche
Si vous utilisez des outils professionnels (CRM, SaaS etc), il faudrait vous rapprocher de ces éditeurs de logiciels professionnels afin de voir ce qu’ils ont pu mettre en place au niveau du RGPD.
Par la suite
Faire un premier état des lieux des données récoltés et contacter un CIL ou un DPO (si besoin) afin de vous mettre en conformité.
Méfiance
AUCUN organisme ne pourra vous agréer « certifier RGPD » : il n’y aucune certification en cours ou label délivré par la CNIL (ou tous autres organismes).
Si l’on vous sollicite lourdement (mails, courriers de menaces…), ce sont des arnaques.
