Un projet ? Appelez-nous 04 50 64 10 94
Demande de rappel

Un peu d'aide concernant "La Réglementation Générale sur la Protection des Données" ?

Qu’est-ce que la réglementation générale sur la protection des données (RGPD) (en anglais : general data protection regulation, GDPR) et comment se préparer à son entrée en vigueur ?

La RGPD, qu’est-ce que c’est ?

C’est un nouveau règlement Européen visant à renforcer la vie privée des citoyens. Il entrera en vigueur le 25 mai 2018.
Cette réglementation RGPD s’applique à toutes les entreprises (UE et hors UE) qui collectent, traitent ou stockent des données à caractère personnel (DCP) d’un citoyen européen.

Qu’est-ce qu’une donnée à caractère personnel ?

Ce sont l’ensemble des informations qui permettent d’identifier une personne physique, directement ou indirectement.

Voici une liste non-exhaustive : nom, photo, empreinte, adresse postale, adresse mail, numéro de téléphone, numéro de sécurité sociale, adresse IP, identifiant de connexion, enregistrement vocal…

Quels sont les risques si je ne suis pas conforme ?

Tout d’abord, il faut noter que le rôle de la Commission nationale de l’informatique et des libertés (CNIL) change. Avec cette nouvelle législation, la CNIL devient un organisme de conseil qui pourra exercer des audits de conformité et qui sera également en mesure de sanctionner les entreprises qui ne respectent pas la RGPD.

Le sanctions en cas de non-conformité sont adressées par la CNIL sous formes d’amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant celui qui sera retenu).

Comment préparer mon entreprise et mes collaborateurs à la mise en vigueur de la RGPD ?

6 étapes

Désigner un pilote / délégué à la RGPD

Obligatoire pour les organismes publics ou les entreprises qui réalisent un suivi régulier et systématique des personnes ou traite des données « sensibles » à grande échelle.
Recommandé pour tous

Son rôle :
– Informer et conseiller le responsable de traitement
– Contrôler le respect de la RGPD
– Conseiller
– Coopérer avec l’autorité de contrôle

Cartographier les traitements de données personnelles

Pour mesurer l’impact de la RGPD sur votre activité et respecter cette exigence, vous devez recenser :
– Les différents traitements de données personnelles
– Les catégories de données personnelles traitées
– Les objectifs poursuivis
– Les acteurs (internes ou externes)
– Les flux d’origine et de destination des données.
Il faut donc se poser les questions qui, quoi, pourquoi, où, jusqu’à quand et comment.

Prioriser les actions

Un fois un registre des traitements de données personnelles établi, Il faut identifier les actions à mener pour vous conformer à la RGPD et les prioriser.

Les points d’attention :
– Seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traités
– Identifier la base juridique
– Révisez vos mentions d’information
– Vérifiez que vos sous-traitants connaissent les nouvelles obligations
– Prévoyez la mise en place des droits des personnes
– Vérifiez les mesures de sécurité mises en place

Gérer les risques

Si vous avez identifié des risques lors de la priorisation de vos actions, vous devez mener une étude d’impact pour chacun d’entre eux.

L’étude d’impact vous permet de construire un traitement des données en accord avec la RGPD, estimer les impacts sur la vie privée des personnes et démontrer que la RGPD est respectée.

Organiser les processus internes

Afin d’assurer un haut niveau de protection des données personnelles en permanence, définissez des procédures internes avec l’ensemble des éléments qui peuvent survenir.

Pour cela, vous devez :
– Prendre en compte la protection des données dès la conception d’une application ou d’un traitement
– Sensibiliser et organiser la remontée d’information
– Traiter les réclamations et demandes
– Anticiper les violations de données

Documenter la conformité

Vous devez constituer un dossier qui vous permettra de prouver votre conformité à la réglementation.

Celui-ci doit contenir :
– la documentation de vos traitements de données (registre, étude d’impact, encadrement des transferts de données hors UE)
– l’information des personnes (mentions d’information, modèle de recueil du consentement, procédures pour l’exercice des droits)
– les contrats qui définissent les rôles et responsabilités (avec les sous-traitants, procédures internes en cas de violation de données, preuve de consentement)

Sources : CNIL et Novencia

Découvrez également comment vous préparer à la RGPD/GDPR grâce à la présentation de Martial Bouiller, Responsable des opérations techniques Access Group :