RGPD : êtes-vous en conformité avec la loi ?
Promulgué le 25 mai 2018, le RGPD ou Règlement Général de la Protection des Données est le nouveau cadre juridique en matière de protection des données personnelles unifié au sein de l’Union européenne. Il en découle que tout organisme établi sur le territoire de l’UE susceptible de traiter de telles données, qu’il soit public ou privé, est dans l’obligation de s’y conformer sous peine de lourdes sanctions. Si vous en faites partie, nous allons voir dans ce qui suit les particularités du RGPD, mais surtout les bons réflexes à adopter pour que votre mise en conformité se déroule au mieux.
Table des matières
Informations générales sur le RGPD
Si vous n’avez toujours pas entrepris votre mise en conformité au RGPD, sachez que c’est le moment de le faire : la période de tolérance qui a été accordée par la CNIL est en effet sur le point de s’achever. Avant d’entamer les démarches de mise en conformité au RGPD, chaque organisme concerné a intérêt à bien comprendre le mécanisme de ce nouveau cadre juridique visant la protection des données personnelles.
En quoi ce nouveau cadre juridique européen consiste-t-il ?
S’inscrivant dans la continuité de la Loi française Informatique et Libertés de 1978, le RGPD ou, en anglais, GDPR (General Data Protection Regulation) est la nouvelle disposition légale encadrant le traitement et la circulation des données à caractère personnel sur le territoire de l’UE. Il a été mis en place dans l’optique d’harmoniser le panorama juridique en Europe, et d’offrir aux professionnels un cadre juridique unique leur permettant de baser leurs activités digitales sur la confiance des utilisateurs.
Qui doit s’y conformer ?
Tous les organismes implantés sur le territoire de l’UE, tant privés que publics, ou dont l’activité vise directement les résidents européens entrent dans le champ d’application du RGPD dès lors qu’ils traitent des données personnelles, que ce soit pour leur compte ou pour celui d’une entité tierce (comme c’est le cas des sous-traitants). En guise d’exemple, une entreprise établie en Belgique doit se conformer au RGPD, et ce, bien qu’elle exporte l’intégralité de ses produits en Tunisie pour ses clients. De même, une e-boutique établie au Japon ciblant la Suisse est concernée par ce nouveau règlement européen.
Qu’entend-on par donnée personnelle ?
L’article 2 de la Loi Informatique et Libertés qualifie une donnée personnelle comme une information se rapportant à un individu et permettant de l’identifier indirectement ou directement. On en distingue aujourd’hui 2 grandes catégories : la première englobe les données non-sensibles, entre autres le nom, le prénom, le sexe, la date de naissance… et la seconde celles qui sont sensibles, c’est-à-dire qui sont susceptibles de donner lieu à des préjugés et de la discrimination telles que l’orientation sexuelle, l’origine raciale et ethnique, les données de santé, l’appartenance syndicale, les données d’infraction, les opinions religieuses…
Conformément au RGPD, tout organisme public et privé n’est en droit de collecter les données sensibles que s’il a obtenu préalablement un consentement écrit, explicite et clair et si l’intérêt public est avéré et a fait l’objet d’une validation par un régulateur (la CNIL pour le cas de la France).
Quelles sanctions ce cadre juridique prévoit-il ?
Toute entité concernée par le RGPD, mais qui ne s’y conforme pas se verra infliger une amende pouvant aller jusqu’à 20 millions d’euros, ou dont le montant correspondra à 2% jusqu’à 4% du chiffre d’affaires annuel mondial total du précédent exercice.
Comment se conformer au RGPD ?
Alors que la précédente directive (celle qui date de 1995) était en grande partie basée sur la notion de formalités préalables, dont la déclaration et les autorisations, le RGPD repose quant à lui sur le principe de conformité, lequel est fondé sur la responsabilisation et la transparence. Les sociétés se trouvant dans son champ d’application sont alors responsables et doivent de facto respecter l’anonymat et la vie privée des utilisateurs, et ce, sous le contrôle et avec l’accompagnement du régulateur.
Quoi qu’il en soit, la mise en conformité au RGPD se fait en quelques étapes. Cependant, avant de se lancer, on doit désigner préalablement un Data Protection Officer (DPO) ou délégué à la protection des données. C’est en effet à ce professionnel que revient la responsabilité d’accompagner l’entreprise qui la désigne dans sa conformité. Celui-ci peut être un membre du personnel responsable du traitement des données ou une personne externe.
Se constituer un registre de traitement de données
Un registre de traitement est un document permettant le recensement de l’ensemble des fichiers utilisés par l’entreprise. Dans celui-ci, on doit établir une fiche pour chacune des activités qui requièrent le traitement des données à caractère personnel. Chaque fiche créée doit ensuite préciser la finalité de l’activité, les types de données utilisées, les personnes ayant un droit d’accès à ces informations et la durée de conservation.
Durant cette étape, il importe d’interagir directement avec chaque collaborateur dont la mission inclut le traitement des informations personnelles. Le but est de s’assurer que le registre est bien à jour et le plus exhaustif possible.
Éliminer les données qui ne sont d’aucune utilité
La mise en conformité au RGPD implique également le triage méticuleux des données pour n’en retenir que celles dont on a réellement besoin. Ainsi, à chaque fois que l’on établit une fiche de registre, voici les bons réflexes à adopter :
- S’assurer que les datas que l’on traite sont indispensables au bon fonctionnement de son entreprise,
- S’assurer que l’on ne traite aucune donnée sensible,
- Dans le cas où l’on traite des informations sensibles, on doit vérifier que l’on a bien le droit de le faire,
- Veiller à ce que chaque personne habilitée n’accède qu’aux informations dont elle a réellement besoin,
- Supprimer les données jugées inutiles,
- Limiter si possible le collecte d’informations.
Respecter scrupuleusement les droits des personnes
Pour se conformer au RGPD, on est contraint de jouer la carte de la transparence et de l’information à l’égard de chaque individu dont on exploite les données. Ainsi, à chaque collecte de données, le support que l’entreprise utilise dans ce cadre doit informer les personnes sur :
- Les raisons pour lesquelles elle collecte les informations,
- Ce qui l’autorise à exploiter ces données,
- Qui accède aux datas collectées,
- La durée de conservation des données collectées,
- Si elle prévoit de transférer les données collectées hors du territoire de l’UE,
- Les différents moyens permettant aux individus concernés d’exercer leurs droits (accès, rectification, opposition, suppression, portabilité, limitation de traitement…) : téléphone, e-mail, compte client…
Mettre l’accent sur la sécurisation des données
Les cyberattaques étant de plus en plus nombreuses et ne cessant de se perfectionner, toute entreprise traitant des données personnelles doit redoubler de vigilance en matière de sécurité. Plusieurs moyens sont envisageables pour garantir un niveau de sécurité optimale : utilisation de logiciels et antivirus à jour, modification régulière de mots de passe, chiffrement des données, choix de mots de passe complexes, accès restreint aux données aux personnes habilitées, protection du réseau informatique interne, authentification des utilisateurs, sécurisation des serveurs, protection des locaux…
Qu’est-ce que le bionettoyage ?Par Manuel, le 27 février 2023-
Entreprises et transformation numériquePar Philippe, le 2 août 2020
-
Le délai d’un virement au Crédit AgricolePar Julie, le 13 octobre 2021
-
Tout sur le site de déclaration fiscale jedeclare.comPar Manuel, le 31 mai 2022
-
Ordinateur, comment récupérer les fichiers supprimés de votre entreprise ?Par Marc, le 9 juin 2019
-
Nettoyage de vitre professionnel : combien ça coûte ?Par Manuel, le 12 juin 2023
-
Quels sont les accompagnements juridiques possibles pour les entreprises ?Par Marc, le 6 décembre 2022
-
Pourquoi utiliser un logiciel de trésorerie ?Par Marc, le 27 octobre 2022
