l'impact du RGPD 2018 ?

Publié le 25/05/2018

Pour une mise en œuvre rapide de ce nouveau dispositif, il vous faut dès à présent appréhender ses conséquences dans le traitement des données que vous collectez dans votre entreprise.

 

1 - Que prévoit le nouveau règlement ?

Conformément aux nouveaux usages du numérique et afin d’uniformiser le niveau de protection des ressortissants dans toute l’Europe, le nouveau règlement, issu d’une directive européenne, rehausse les droits des personnes en ce qui concerne l’utilisation de leurs données personnelles par les entreprises. Il impose aux entreprises qui collectent des données de mettre en place des mesures qui amélioreront leur protection et faciliteront leur accès aux usagers concernés. Il incite globalement les entreprises à traiter ces données de manière loyale, licite et transparente.

 

2 - Votre entreprise est-elle concernée ?

Dans votre entreprise, vous collectez immanquablement des données à caractère personnel, qui permettent d’identifier vos salariés, vos clients, ... Vous êtes donc concernés par la mise en place de cette nouvelle mesure dont les principales obligations sont les suivantes :

  • Désigner un pilote
  • Cartographier vos traitements de données personnelles
  • Prioriser les actions à mener
  • Gérer les risques
  • Organiser les processus internes
  • Documenter la conformité

Désigner un pilote :

Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un référent qui exercera une mission d’information : le délégué à la protection des données.

Son rôle : 

  • informer et conseiller en interne
  • contrôler le respect du règlement
  • coopérer avec l’autorité de contrôle

 

Cartographier vos traitements de données personnelles :

Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L'élaboration d'un registre des traitements vous permet de faire le point.

Ce registre interne de données devra être constitué préalablement à l’examen de conformité et répondre aux questions suivantes :

  • Quels types de données sont traités par chaque métier 
  • Pourquoi sont-elles traitées
  • De quelle source proviennent-elles
  • De quelles informations les personnes concernées disposent-elles ?
  • Par qui ces données sont-elles accessibles en interne et en externe, pourquoi, comment et pendant combien de temps

 

Prioriser les actions à mener :

Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées. 

Gérer les risques :

Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d'impact sur la protection des données (PIA).

Organiser les processus internes :

Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire). 

Documenter la conformité :

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

 

3 – La mise en œuvre :

 

Pour vous aider dans ces démarches, la CNIL propose différents guides et documents pratiques téléchargeables sur son site, comme par exemple un modèle de registre ou encore une méthode pour mener une étude d’impact sur la vie privée.

https://www.cnil.fr/fr/cnil-direct/question/1253?visiteur=pro

Afin de vous accompagnez dans cette démarche la CNIL vos propose également un logiciel téléchargeable gratuitement qui vous permettra de mettre en œuvre vos obligations :

https://www.cnil.fr/fr/rgpd-un-logiciel-pour-realiser-son-analyse-dimpact-sur-la-protection-des-donnees-pia

Enfin, en cas de faille détectée, il faudra la notifier à la CNIL dans les 72 heures via un téléservice dédié qui sera opérationnel en mai 2018, voire informer directement les personnes dont les données sont concernées par la faille.

 

4 - Quelles sanctions en cas de non-conformité à la RGPD ?

Les sanctions administratives en cas de manquement des entreprises au respect de leurs obligations se sont alourdies. La nouvelle réglementation prévoit des sanctions pouvant aller jusqu’à 4% du chiffre d’affaires annuel, assorties de sanctions pénales.