Ce site utilise des cookies, petits fichiers enregistrés sur votre terminal lors de votre visite sur le site. Vous pouvez accepter ou refuser leur dépôt. Si vous changez de page sur ce site, le responsable du site pourra recueillir des statistiques de visites anonymes pour améliorer la navigation.
Le GDPR, en français RGPD, est le nouveau règlement européen sur la protection des données qui sera applicable à partir du 25 Mai 2018. Ce dernier va changer radicalement l’approche des entreprises en matière de traitement des données. Les enjeux sont importants et notamment financiers. En effet, en cas de non-conformité, les entreprises devront payer de lourdes amendes pouvant atteindre 20 millions d’euros ou 4 % de leur CA mondial.
Les chantiers induits sont considérables, entraînant des impacts organisationnels et technologiques. Toutes les fonctions étant amenées à collecter, traiter, manipuler, transformer, exploiter et stocker les données à caractère personnel sont concernées.
Pour aider les entreprises à s’y préparer, la CNIL a publié un guide pratique et leur a donné 2 ans pour être conformes au règlement. Ceci étant dit, une enquête d’Umanis a révélé un retard important pris par les entreprises françaises :
La moitié des entreprises ignore les problématiques induites par la mise en conformité,
67 % en sont seulement au stade de la veille technologique,
70% n’ont pas nommé de DPO,
7% seulement considèrent que la désignation d’un pilote GDPR est une priorité,
46% des entreprises ne savent pas du tout si elles seront prêtes à temps.
Pour être en adéquation avec la réforme européenne, une entreprise doit mettre en place en interne des chantiers majeurs :
Tenir un registre des traitements Les entreprises doivent tenir un registre actualisé de tous leurs traitements de données personnelles, consultable à tout moment par la Cnil. Ce registre comporte, entre autres, le nom et les coordonnées du responsable du traitement, le type de destinataire auquel les données ont été ou seront communiquées et la finalité du traitement.
Identifier le périmètre des données sensibles La réforme européenne préconise le cryptage pour les données les plus sensibles. Il s’agit des informations faisant référence aux origines raciales ou ethniques, à la religion, aux opinions politiques, etc…
Garantir les droits des personnes L’entreprise doit obtenir l’accord des personnes concernées par le traitement et pouvoir en apporter la preuve. Le droit à l’oubli oblige le responsable du traitement à garantir aux individus, qui lui en feront la demande, que leurs données seront bien supprimées. Le règlement instaure aussi un droit à la portabilité.
Revoir les contrats fournisseurs Le règlement met fin à l’immunité des sous-traitants en introduisant un principe de coresponsabilité. Le responsable du traitement doit s’assurer qu’ils sont bien engagés sur la voie de la conformité.
Rédiger une charte de bonnes pratiques Une charte jointe au règlement intérieur permettra de rappeler aux collaborateurs un certain nombre de bonnes pratiques ainsi que les sanctions encourues en cas de non-respect de la loi. Par exemple, un salarié ne peut accéder ou supprimer des informations ne relevant pas de sa fonction ou enregistrer des données sur un support externe sans accord de sa hiérarchie.
Définir un DPO Le DPO, data protection officer, exerce le contrôle des règles internes de protection et vérifie leur bonne exécution. C’est le référant.
Préparer la possibilité d’une fuite de données L’entreprise doit mettre en place des procédures en cas de violation de données personnelles. Le responsable du traitement doit notifier la Cnil et avertir les personnes concernées quand la fuite présente un risque élevé.
Ajouter votre commentaire
Écrire un commentaire en tant qu'invité