RGPD, ce qu’il faut savoir pour être prêt

A partir du 25 mai 2018, le règlement général sur la protection des données (RGPD) entrera en application, une mesure non sans conséquences pour les entreprises en France, en Europe et même à travers le monde. Nous faisons le point sur ce que cela va, ou doit changer pour vous.

29 mars 2018

A partir du 25 mai 2018, le règlement général sur la protection des données (RGPD) entrera en application, une mesure non sans conséquences pour les entreprises en France, en Europe et même à travers le monde. Nous faisons le point sur ce que cela va, ou doit changer pour vous.

Le RGPD est un moyen d'encourager les entreprises  à reconsidérer les données personnelles dont elles disposent et leur protection. Il s'applique à toutes les entreprises, où qu’elles soient implantées dans le monde, qui traitent et conservent les données personnelles de personnes vivant dans l'Union européenne.

 

Par donnée personnelle on entend toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement. Cela peut être : un nom, un e-mail nominatif, une adresse IP, un  identifiant de compte, etc. 

Objectifs clés du RGPD

Le RGPD comporte deux objectifs:
• Donner aux citoyens et aux résidents le contrôle de leurs données personnelles pour les protéger et les responsabiliser.
• Simplifier l'environnement réglementaire pour les entreprises internationales en homogénéisant la réglementation au sein de l'UE.

Après rappel à l’ordre et avertissement, les sanctions pour violation de ces nouvelles obligations sont lourdes : suspension du traitement des données et amende qui peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel (mondial le cas échéant), la somme retenue étant la plus élevée.


Comment s’y préparer?

Les exigences imposées par le RGPD sont strictes et les sanctions encourues en cas de non-respect élevées : selon la catégorie de l'infraction, de 10 à 20 M€, ou, dans le cas d'une entreprise, de 2 à 4% du chiffre d'affaires annuel mondial (art. 83 du RGPD).
 Voici donc les actions principales à envisager avant sa mise en œuvre. 

Soyez sélectif dans les données que vous gardez
Inutile de conserver des données que vous n’exploitez pas. Le RGPD est l’occasion de pencher sur celles que vous devez garder et celles qu’il est temps de jeter. Par la suite, ce règlement vous encouragera à un traitement plus rigoureux des données personnelles, ce qui ne peut être que positif pour votre business.

 

Passez en revue votre documentation
Avec le RGPD, les utilisateurs doivent explicitement consentir à la manipulation de leurs données. Passez en revue toutes vos déclarations de confidentialité et divulgations présentes dans vos documents commerciaux ou votre site internet, en apportant les ajustements nécessaires le cas échéant.

Créer une piste d'audit
Lors de la mise en place de nouveaux processus pour s’aligner avec le RGPD, la création de pistes d'audit claires protégera votre entreprise. Démontrer votre intention de suivre la nouvelle réglementation et prouver votre bonne foi pour appliquer les exigences est le meilleur moyen de vous prévenir d’une sanction.

 

Protégez-vous des violations de données
Assurez-vous que votre entreprise dispose de la formation et des systèmes appropriés pour traiter efficacement les éventuelles violations de données. Prenez des mesures rapides (dans les 72 heures) et informez les autorités compétentes dans le cas où cela se produirait. Si vous sous-traitez, assurez-vous que le fournisseur de services a également mis en place ces mesures de sécurité.

 

RGPD idées reçues
 

Un délégué à la protection des données est absolument obligatoire
On peut entendre parfois que toutes les organisations doivent employer un délégué à la protection des données (DPO). Ce n’est obligatoire que pour les autorités publiques ou organisme publique, les entreprises qui effectuent des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées et les entreprises qui effectuent des traitements de données sensibles.

Les entreprises de moins de 250 employés sont exemptées.
Un autre mythe, mais qui n'est pas sans fondement. L'article 30 impose que les entreprises de  250 personnes ou plus qui traitent des données personnelles sont obligées de tenir un registre des activités de traitement. Pour autant, les TPE/PME ne doivent pas se sentir dédouanées ! Le RGPD prévoit que celles qui effectuent des traitements sensibles de façon non occasionnel ou qui concernent certaines catégories de personnes ou des données relatives à des condamnations pénales et à des infractions doivent également se conformer à ces exigences.

Les coordonnées professionnelles ne sont pas des informations personnelles
L'utilisation du mot «personnel» a conduit certains à croire que l'information basée sur des données professionnelles sur le ne rentrait pas dans le cadre du RGPD. Mais selon la définition de la loi sur la protection des données, les «données personnelles» désignent les informations relatives à un individu qui a été stocké à l'aide d'un équipement de collecte de données ou de systèmes de classement. Cela signifie que les informations professionnelles  peuvent être considérées comme des informations personnelles.

 

RGPD ne s'applique pas aux données existantes
Tous les consentements existants qui sont valides en vertu de la directive actuelle mais qui ne satisfont pas aux exigences du RGPD devront être obtenus à nouveau. Les entreprises ne doivent donc pas se reposer sur les consentements acquis, mais bien être proactifs pour respecter  la nouvelle réglementation.

Vous avez apprécié cet article? N'oubliez pas de consulter le reste du blog de Gazprom Energy.

Pour découvrir notre gamme de produits et services à destination des professionnels, c’est par ici


Partagez cet article


Vous aimerez aussi

}