RGDP : Comment s’y préparer ?

RGDP : Comment s’y préparer ?

Le RGPD : qu’est-ce que c’est ?

Le RGPD est le Règlement Général de Protection des Données. Il s’agit d’un règlement européen qui sera directement applicable dans tous les pays de l’Union Européenne à partir du 25 mai 2018. Il concerne toutes les entreprises de toutes tailles et de tous secteurs, dans toute l’Europe, et permettra de :

Renforcer les droits des personnes, et les droits d’accès aux données personnelles,

Responsabiliser les acteurs traitant des données,

Augmenter la régulation et renforcer les sanctions. 

Le RGPD concerne les données personnelles d’une personne physique et s’applique aux responsables du traitement des données. Par exemple, les données d’identité, les adresses (physiques ou mail), les numéros de téléphones, les informations portant sur les caractéristiques physiques, sanitaires, culturelles, religieuses, sociales, mais aussi les adresses IP et éléments d’identification numériques sont des données personnelles. Ces données peuvent être brutes ou issues de traitements (automatisés ou manuels).

Principes du RGPD

Aujourd’hui, toute entreprise, si petite soit-elle, collecte et traite des données à caractère personnel. Tous les services et processus qui traitent des données personnelles seront impactés. Donc d’une certaine manière toutes les entreprises, quels que soient leurs secteurs d’activités et leurs tailles seront impactés.

Le RGPD implique que vous puissiez :

Localiser les données, retracer et documenter les processus de traitement ;

Garantir le droit des personnes et obtenir des consentements explicites pour chaque collecte et processus de traitement de données ;

Limiter la collecte et la quantité des données mais aussi leur temps de conservation ;

Être en mesure de répondre rapidement à toute demande de correction, export ou suppression des données personnelles ;

Harmoniser les pratiques et processus dans votre entreprise pour être en conformité ;

Documenter vos traitements de données et tenir un registre des traitements à jour ;

Prévenir les autorités compétentes en cas de perte de données (vol, piratage, perte…).

En France, l’autorité de référence est la CNIL.

Le RGPD va donc imposer de changer d’approche dans la collecte des données. Il recherche activement la minimisation de la collecte et de la conservation des données personnelles à ce qui est strictement nécessaire. Il va falloir privilégier le qualitatif au quantitatif dans la constitution de nouvelles bases de données. Il va falloir aussi nettoyer les bases de données existantes des informations non pertinentes pour un processus et une finalité donnée. D’autre part, le RGPD va renforcer la nécessité d’obtenir un consentement clair et explicite pour pouvoir collecter des données personnelles.

 

Impacts TPE – PME

Les TPE/PME sont dispensées d’un certain nombre d’obligations telles que la désignation d’un délégué à la protection des données, la consignation de leurs activités de traitement, ou bien l’analyse d’impact et le signalement systématiques de toutes les violations de données aux personnes physiques. L’obligation de documentation interne comporte aussi une exception pour les entreprises comptant moins de 250 employés.

Cependant, il sera utile de se soumettre malgré tout à certaines de ces obligations, afin de prouver que l’entreprise est conforme au RGPD et ainsi de ne pas perdre d’éventuels marchés.

Risques et sanctions 

Les sanctions pourront être extrêmement importantes : Jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent.

Impact sur les archives

Le RGPD aura essentiellement un impact sur les acteurs de l’archivage électronique et les prestataires de stockage de données. Les prestataires devront prouver qu’ils prennent toutes les précautions nécessaires et sont conformes au règlement. De l’autre côté, les propriétaires des données auront la responsabilité de vérifier les garanties apportées par les prestataires de leur conformité.

Plus encore que maintenant, il faudra veiller à sélectionner les données à archiver, à limiter l’archivage dans le temps, et bien sécuriser les données aussi bien pendant leur période de conservation que lors de leur destruction.

Comment se mettre en conformité ?

La mise en conformité devra se faire en plusieurs étapes et aura un cout. Elle va forcer chaque entreprise à se questionner sur ses usages, à revoir sa documentation, ses contrats, souvent aussi son site internet afin de minimiser et rationaliser la collecte de données.

Les principales questions à se poser porteront sur la nature des données à collecter, le niveau de protection et d’accessibilité, leur cycle de vie, leur localisation et leur mode d’accès.

Selon la CNIL les principales étapes pour se mettre en conformité sont :

Désigner un pilote

La nomination d’un DPO (Data Protection Officer ou Délégué à la protection de données) est obligatoire pour toute entreprise de plus de 250 personnes. Mais pour toutes les entreprises il est conseillé d’avoir un responsable des traitements de données.

Cartographier les pratiques et prioriser les actions à mener

C’est indispensable. Cela vous permettra de réaliser l’inventaire de vos traitements de données, d’évaluer les risques potentiels et les mesures à prendre, de documenter vos pratiques. La CNIL fourni un modèle pour aider dans cette tâche et ainsi construire votre registre. Priorisez les actions à mener en fonction des risques que vous identifiez.

Gérer les risques liés au traitement des données personnelles.

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données.

Organiser les processus internes

Mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment et sur l’ensemble du cycle de vie des données.

Documenter la conformité

Constituez et regroupez la documentation établissant la preuve de votre conformité au règlement. Cette documentation doit être actualisée régulièrement afin de maintenir le bon niveau de protection des données.

À propos de l’auteur

Claire Martin administrator