Quelles sont vos obligations ?
Dans toutes les entreprises,la question du moment est “Quid du RGPD?”, nous tachons d’y répondre concrètement et de vous apporter des pistes pratiques.
Le RGPD est le futur Règlement Général pour la Protection des Données, en anglais GDPR (General Data Protection Regulation).
Ce règlement européen mis en œuvre le 25 mai 2018 a pour objectif l’amélioration de la protection et la confidentialité des données mais aussi il a pour but :
- D’uniformiser la règlementation au niveau européen
- De renforcer le droit des personnes
- De responsabiliser davantage les entreprises en développant l’auto-contrôle
- De pousser au respect des règles en augmentant les sanctions
Au delà de la loi de 78, le RGPD impose aux entreprises une logique de responsabilisation (l’Accountability) en “contraignant le responsable du traitement à prendre toutes les mesures requises pour garantir la conformité du traitement”.
Quelles données sont considérées comme personnelles ?
Liste non exhaustive : nom, adresse, localisation, identifiant, IP… autrement dit toutes les données qui permettent d’identifier directement ou indirectement une personne. Vaste !
Quels fichiers sont concernés ?
En fait tous les fichiers sont concernés par la protection des données, de votre fichier Excel construit à la va-vite pour envoyer un emailing, à vos bases de données de prospects, salariés, visiteurs de votre site… A partir du moment où les fichiers contiennent des données personnelles, qu’ils soient utilisés, stockés, en cours de collecte ou de création, ils sont concernés.
Quelles vont être les obligations ?
Elles sont nombreuses et sans doute un peu confuses pour les non initiés (et pour les autres aussi d’ailleurs), en voici une synthèse :
- Informer > les personnes doivent comprendre par qui, pour quoi, jusqu’à quand seront enregistrées leurs données, mais aussi être alertées si leurs données ont fuitées ou ont été détournées de ce qui était prévu au départ.
- Obtenir le consentement > Les personnes doivent sans aucune ambiguïté affirmer leur accord pour toute collecte de leurs données : elle doit être licite et loyale.
- Permettre le refus > Les personnes doivent pouvoir obtenir la destruction de leur données de vos fichiers ou simplement refuser que leurs données soient exploitées en marketing direct.
- Protéger les données sensibles > Garantir que les données de santé, race, orientation sexuelle.. sont protégées efficacement.
- Alerter > Toute faille dans le système doit faire l’objet d’une notification auprès de l’autorité de contrôle.
Avez-vous besoin d’un DPO ?
Le DPO (Data Protection Officerou Délégué à la Protection des Données) est la personne en charge du respect des règles du RGPD. Il peut être interne à l’entreprise ou externalisé.
Votre entreprise a besoin d’un DPO si elle traite des données sensibles à grande échelle, donc ne concerne normalement que les entreprises dont le traitement des données est l’activité principale ou si ces données sont particulièrement sensibles.
Si vous n’avez pas besoin de DPO, ceci ne signifie pas que vous n’avez rien à faire bien au contraire. Toutes les règles énoncées plus haut sont évidemment de rigueur et pour être parfaitement en phase avec le RGPD il faudra sans doute très rapidement que les entreprises revoient leursprocédures de collecte, de stockage et d’utilisation de leur fichiers.
Quels sont les risques ?
On pensera d’abord aux sanctions financières pouvant aller jusqu’à 20 millions d’euros et obligation de réparations des dommages causés, voire sanctions pénales. Mais avant d’en arriver à cette extrémité, il y a un risque de suspension des traitements, on imagine les conséquences pour l’activité de l’entreprise et son impact impact négatif sur l’image de l’entreprise, sa réputation et la perte de confiance induite.
Nos recommandations :
Il semble raisonnable de se préparer dès maintenant de façon pratique, c’est pourquoi nous vous proposons une checklist des points à appréhender sérieusement pour ne pas se faire surprendre le jour J :
- Assurez-vous que vous n’avez pas besoin de DPO, dans la grande majorité c’est non, mais ça peut aider. Ou tout au moins désigner un responsable qualifié,
- Identifiez le périmètre des données sensibles que vous devez gérer,
- Répertoriez tous les fichiers concernés et vérifier qu’ils sont conformes à la directive,
- Revoyez toutes les procédures de consentement et les informations que vous diffusez à vos futurs contacts,
- Eliminez tous les données récoltées de façon illicite ou déloyale ou repassez les en validation (Opt-in voire double Opt-in),
- Vérifiez la protection effective des données,
- Anticipez les procédures d’alertes auprès des personnes enregistrées dans vos fichiers et vers la CNIL,
- Communiquez en interne, par une information, une charte…
(Source : Axellescom.com)