Le 25 mai 2018 entrera en vigueur dans l’Union européenne le RGPD, ou Règlement Général sur la Protection des Données.
Toute entreprise collecte chaque jour des milliers de données personnelles, voire sensibles, de ses interlocuteurs : clients, fournisseurs, salariés, stagiaires, prospects… Ces données sont-elles protégées des hackers, de destruction, d’une perte éventuelle ? Comment ces données circulent-elles ? Comment l’entreprise les gère-t-elle, physiquement et virtuellement ?
L’objectif du RGPD est de donner des droits fondamentaux aux citoyens concernant leurs données privées (droit de retrait, droit de consultation, droit à la portabilité, droit du consentement) et donc d’assurer une plus grande sécurité de leurs informations et une transparence dans la façon dont elles sont traitées (traitement informatique, procédure de collecte, stockage électronique…) : cela implique par conséquent de nouvelles obligations pour les entreprises pour la mise en conformité.
Est concernée toute organisation, quels que soient sa taille, son statut et sa nationalité, qui collecte des données de résidents Européens.
Le texte est dense mais l’on peut retenir les points suivants :
- La désignation d’un DPO, Data Protection Officer, au sein de l’entreprise : une personne dédiée uniquement au contrôle et suivi du RGPD et à la coopération avec les autorités de contrôle. C’est une obligation à partir du 25 mai pour les organismes publics et les entreprises traitant des données personnelles à grande échelle ou ‘sensibles’ (religion, politique, santé, condamnations, infractions…).
- La cartographie des données : il faut pouvoir produire un registre des informations collectées pour chaque personne, mentionnant la catégorie de donnée personnelle (nom, id, n° de sécu…), le traitement (collecte, modification, transmission, effacement…), les objectifs (gestion des clients, enquête de satisfaction, surveillance des locaux…), les intervenants qui manipulent les données, les flux (origine et destination des données),…
- La mise en place de procédures afin de suivre la circulation des données et corriger les failles de sécurité : s’assurer du consentement des personnes en amont, sécuriser et chiffrer les traitements, minimiser le stockage des données, assurer le droit au retrait et à la rectification sur demande du citoyen. Définir les acteurs impliqués dans ces procédures et les responsabiliser.
- Les sanctions : pour le non respect du RGPD les amendes pourront atteindre 20 millions d’euros ou 4% du CA annuel total de l’exercice précédent…
Les travaux de conformité étant lourds, il est dans un premier temps important de fournir les preuves d’une mise en œuvre d’une démarche et plan d’action à moyen terme. Il conviendra de prendre contact avec ses prestataires informatiques, les éditeurs de logiciels, de nommer un groupe de travail et des responsables de traitement…
N’hésitez pas à nous contacter si vous souhaitez plus d’information ou un accompagnement dans la mise en œuvre de vos démarches.