Qu’est-ce que la réglementation générale sur la protection des données (RGPD) (en anglais : general data protection regulation, GDPR) et comment se préparer à son entrée en vigueur ?
C’est un nouveau règlement Européen visant à renforcer la vie privée des citoyens. Il entrera en vigueur le 25 mai 2018.
Cette réglementation RGPD s’applique à toutes les entreprises (UE et hors UE) qui collectent, traitent ou stockent des données à caractère personnel (DCP) d’un citoyen européen.
Ce sont l’ensemble des informations qui permettent d’identifier une personne physique, directement ou indirectement.
Voici une liste non-exhaustive : nom, photo, empreinte, adresse postale, adresse mail, numéro de téléphone, numéro de sécurité sociale, adresse IP, identifiant de connexion, enregistrement vocal…
Tout d’abord, il faut noter que le rôle de la Commission nationale de l’informatique et des libertés (CNIL) change. Avec cette nouvelle législation, la CNIL devient un organisme de conseil qui pourra exercer des audits de conformité et qui sera également en mesure de sanctionner les entreprises qui ne respectent pas la RGPD.
Le sanctions en cas de non-conformité sont adressées par la CNIL sous formes d’amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant celui qui sera retenu).
Désigner un pilote / délégué à la RGPDObligatoire pour les organismes publics ou les entreprises qui réalisent un suivi régulier et systématique des personnes ou traite des données « sensibles » à grande échelle. Son rôle : |
Cartographier les traitements de données personnellesPour mesurer l’impact de la RGPD sur votre activité et respecter cette exigence, vous devez recenser : |
Prioriser les actionsUn fois un registre des traitements de données personnelles établi, Il faut identifier les actions à mener pour vous conformer à la RGPD et les prioriser. Les points d’attention : |
||
Gérer les risquesSi vous avez identifié des risques lors de la priorisation de vos actions, vous devez mener une étude d’impact pour chacun d’entre eux. L’étude d’impact vous permet de construire un traitement des données en accord avec la RGPD, estimer les impacts sur la vie privée des personnes et démontrer que la RGPD est respectée. |
Organiser les processus internesAfin d’assurer un haut niveau de protection des données personnelles en permanence, définissez des procédures internes avec l’ensemble des éléments qui peuvent survenir. Pour cela, vous devez : |
Documenter la conformitéVous devez constituer un dossier qui vous permettra de prouver votre conformité à la réglementation. Celui-ci doit contenir : |
Sources : CNIL et Novencia
Découvrez également comment vous préparer à la RGPD/GDPR grâce à la présentation de Martial Bouiller, Responsable des opérations techniques Access Group :