LOADING

Type to search

Tags:

Guide complet – Le RGPD entre en vigueur pour l’Europe

2 semaines ago
Share

2018 sera une année importante pour la protection des données, car le RGPD se faufile sur le Web afin de remplacer la loi traditionnelle liée à l’informatique et les libertés. Cette dernière est pratiquement obsolète au vu de l’essor d’Internet. L’Union européenne a été contrainte de réagir. Si vous êtes une entreprise, vous êtes donc concerné par ce changement. Ne balayez pas d’un revers de la main ce sujet, car des sanctions sont prévues si vous ne respectez pas les nouveaux termes.

Quelles sont les personnes concernées par le RGPD ?

Cette réglementation n’est pas arrivée comme un cheveu sur la soupe, elle a tout de même demandé de nombreuses négociations pendant quatre longues années. Les instances européennes ont eu l’occasion de s’attarder sur toutes les problématiques afin d’apporter une réponse concrète et surtout judicieuse. Le RGPD est donc dédié à ceux qui :

  • Hébergent des données et/ou les collectent
  • Résident sur le territoire européen
  • Sont responsables de traitement de données
  • Sous-traitent de telles informations en Europe

L’objectif de cette mesure consiste à harmoniser toutes les mesures liées à la protection des données. Les entreprises sont donc contraintes de revoir leur conception afin de respecter les termes à l’horizon 2018. Si vous pensez que la mise en place n’est pas immédiate, vous avez tort puisque le règlement européen sur la protection des données personnelles est paru au JO (Journal Officiel). Il sera donc en vigueur dès le 25 Mai 2018, vous devez vous préparer au plus vite afin d’éviter les sanctions prévues.

Comment se préparer au nouveau RGPD ?

Avec l’essor du numérique, il est nécessaire d’optimiser toutes les démarches puisque les données sont de plus en plus nombreuses à transiter d’un site à un autre tout en passant par les serveurs. Les autorités compétentes ont décidé d’être très réactives sur le sujet notamment en renforçant la responsabilité des organismes même si certaines démarches auprès de la CNIL doivent disparaître dans les prochains mois. Vous êtes donc invité à mettre immédiatement en place un cahier des charges dans le but de répondre à ce RGPD et plusieurs étapes sont largement conseillées :

  • Confiez l’organisation des actions à une personne compétente
  • Référencez toutes les données personnelles en votre possession
  • Identifiez les actions primordiales à mener pour être au plus vite en règle avec le RGPD
  • N’oubliez pas de jauger le risque concernant la collecte des informations
  • Pensez à une gestion efficace de la collecte et du traitement des données afin d’anticiper les problèmes
  • Informez-vous sur les pratiques à privilégier, les comportements à bannir…

Même si le règlement ne sera pas en vigueur avant l’année prochaine, la gestion des données personnelles est complexe. Elle demande donc une grande minutie et surtout de la patience. Il serait dommage de réserver cette étude à la dernière minute, car vous serez confronté à des difficultés majeures susceptibles d’engendrer des sanctions.

Dès maintenant, il est préférable de désigner une personne compétente qui peut s’occuper de cette gestion afin d’être en adéquation avec les nouveaux termes de ce RGPD. Elle doit bien sûr avoir les qualités requises pour effectuer un audit de la situation tout en définissant les actions à mener. Si vous devez privilégier deux étapes seulement, il s’agit du recensement des informations personnelles et l’organisation des processus pour respecter le RGPD.

Prévoir une telle gestion dès maintenant, c’est un gage de sérénité et un gain de temps colossal puisque les entreprises doivent souvent jongler avec une quantité astronomique d’informations. Il faut donc plusieurs mois pour que le système soit mis en place.

Quelles sont les sanctions prévues par le RGPD ?

Les informations personnelles sont de plus en plus nombreuses à être collectées par les sociétés, car elles sont indispensables. Sans celles-ci, il est par exemple difficile de répondre aux exigences des clients, car il est impératif de le connaître à la perfection pour lui offrir une réponse adéquate. Certaines entreprises ont donc privilégié la collecte ainsi que le traitement sans se soucier du mode opératoire. Cela pourrait être problématique en 2018 à cause des sanctions administratives. Si vous n’êtes pas en règle :

  • Votre flux de données pourrait être suspendu
  • Le traitement des données sera limité
  • Les autorités peuvent vous envoyer un avertissement
  • Les données devront parfois être rectifiées ou effacées

Ce RGPD peut donc aller beaucoup plus loin qu’un simple avertissement avec des amendes susceptibles d’atteindre 4 % du chiffre d’affaires annuel mondial. Vous risquez donc une forte somme de l’ordre de 20 millions d’euros, d’où l’intérêt de vous focaliser dès maintenant sur les actions à mener, mais sachez que ces sanctions ne sont pas les seules :

  • Vous encourez jusqu’à 5 ans d’emprisonnement pour des sanctions pénales
  • Une amende de 300 000 euros est aussi envisageable pour le chef d’entreprise
  • Des dommages et intérêts peuvent être demandés dans le cadre de sanctions civiles

Il est important de préciser que le contrôle sera nettement renforcé du côté de la CNIL puisque l’organisme sera libéré de certaines contraintes liées notamment aux formalités. Il pourra donc se concentrer sur la surveillance.

Quels sont les principes à respecter ?

Avant de vous lancer dans un changement global de l’ensemble du processus, il est judicieux de s’attarder sur la définition des données personnelles. Ce sont donc des informations qui vous permettent de connaître une personne que ce soit via son nom, une identification spécifique ou des données sensibles (religion, originale raciale, santé, génétique, biométrique…). Une précision supplémentaire est indispensable, car l’identification des entreprises n’est pas prise en compte dans le RGPD.

Dans ce domaine, vous avez donc deux entités :

  • La personne en charge du traitement des données
  • Le sous-traitant

Vous devez collecter les informations uniquement si la personne a donné son consentement via la voie électronique ou écrite. Elle doit donc être informée de toutes les étapes et il est nécessaire de collecter ces données directement auprès de celle-ci. De plus, vos motivations doivent être clairement énoncées dès le début, si toutefois elles venaient à évoluer, il sera judicieux de l’informer dans les plus brefs délais afin de jouir à nouveau de son consentement qui peut être révoqué à tout moment.

Le RGPD vous invite également à collecter les données essentielles en étant raisonnable que ce soit pour la quantité, la conservation ainsi que le traitement. Inutile d’engendrer une quantité astronomique d’informations juste pour le principe de les détenir (Privacy by default). Vous devez clairement avoir un but précis motivé dès le départ (Privacy by design) en faisant preuve de loyauté et de transparence, mais vous êtes aussi invité à offrir un cadre sécurisé.

Quels sont les outils de conformité disponibles ?

Bien sûr, pour que la collecte et le traitement se déroulent dans les meilleures conditions, vous devez utiliser des outils pertinents. Ces derniers vous aident à toujours être en conformité avec le RGPD tout en étant éloigné des sanctions dans le cas du non-respect :

  • Le registre des activités de traitement
  • Une analyse d’impact notamment sur la vie privée
  • Le DPO (Délégué à la Protection des Données)

Par exemple, le premier outil est indispensable pour les établissements qui gèrent plus de 250 personnes alors que le troisième est réservé à certaines entités comme les organismes publics. Pour les utiliser au mieux, vous devez répondre à quelques questions, si les réponses apportées sont inexistantes ou évasives, vous devrez procéder à des modifications :

  • Quelles sont les données identifiées ?
  • Quelle est la durée de conservation ?
  • D’où proviennent les données collectées ?
  • Pourquoi les données sont-elles collectées ?
  • Quelle est la méthode de stockage ?
  • Le procédé est-il sécurisé ?
  • Quels sont les destinataires de ces données (France, UE ou hors UE) ?

Respectez la sécurité des données et les droits des personnes

Vous constatez que le RGPD est relativement complexe, il demande donc la plus grande attention surtout au niveau des droits. Le consentement est indispensable afin de faire preuve de transparence. Cette étape ne doit pas être négligée, mais il est primordial de se pencher sur deux sujets très pointilleux :

  • Le droit à un recours permet à une personne de saisir un juge, voire la CNIL dans le cas d’un non-respect
  • Le droit à l’oubli consiste à supprimer des données notamment dans le cas d’une maladie

Certains organismes ont recours à une collecte d’informations pour effectuer des études. En effet, un profilage est souvent indispensable pour que les résultats puissent être déterminés dans les meilleures conditions. A nouveau, les participants à un sondage doivent être informés rapidement concernant l’utilisation de leur identité. Le consentement est primordial pour les adultes, mais le RGPD s’attarde également sur les mineurs. Pour ce cas de figure, ce sont les parents qui seront mis à contribution.

Vous devez également garantir un maximum de sécurité pour la collecte, le traitement ainsi que la conservation de toutes les données. Le RGPD est très explicite sur ces termes :

Les données doivent être traitées de façon à garantir leur sécurité y compris contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle.

Vous devez donc vérifier régulièrement la sécurité puisque celle-ci doit être maximale et sans aucune faille. Plusieurs solutions sont à envisager avec notamment l’utilisation d’un antivirus, d’un protocole HTTPS, d’une modification périodique des mots de passe… Si les informations sont collectées dans des locaux, ils doivent aussi répondre à un certain degré de sécurité.

Cette sécurité doit aussi être au rendez-vous pour les transferts en dehors de l’Union européenne. Vous pouvez effectuer cette démarche uniquement si certaines conditions sont réunies :

  • Le pays doit avoir une politique de protection importante
  • Les entreprises doivent mettre en place des contrats approuvés par la Commission européenne afin de motiver le respect de la collecte et du traitement
  • Les BRC (Règles d’entreprises contraignantes) sont les bienvenues

Vous connaissez désormais toutes les informations essentielles afin d’être en règle avec le RGPD. Il est conseillé d’effectuer dès maintenant une étude minutieuse, car les sanctions peuvent être colossales pour certaines entreprises.

Tags:

Leave a Comment

Your email address will not be published. Required fields are marked *