Logo Gagner en Franchise
RGPD : REGLEMENT EUROPEEN SUR LA PROTECTION DES DONNEES

RGPD : REGLEMENT EUROPEEN SUR LA PROTECTION DES DONNEES

Tout savoir sur le règlement européen qui va chambouler vos traitements de données :


- Quelles sont les entreprises concernées par le RGPD ? Vous traitez de grandes quantités de données personnelles dans le cadre de votre activité ? Alors vous êtes (plus que) probablement concerné par le RGPD. Découvrez précisément qui sont les sociétés qui doivent se préoccuper de ce nouveau règlement.


 


- Quelles sont les données visées par le RGPD ? De prime à bord, définir ce qu'est une donnée personnelle semble plutôt simple. Pourtant, selon le traitement adopté, certaines données comportementales peuvent revêtir un caractère personnel. Quelques précisions, donc, sur les données visées par le RGPD.


 


- Les obligations des entreprises en matière de traitement des données personnelles


Le RGPD renforce certaines obligations déjà existantes en matière de protection des données personnelles, et en crée de nouvelles. Voici un aperçu des grands principes abordés par le règlement, et de leurs implications pour les organisations qui doivent se mettre en conformité.


 


- Le DPO, un nouvel acteur au sein de l'entreprise


Le RGPD prévoit la création du poste de DPO (délégué à la protection des données) dans certaines structures. Dans quels cas est-il obligatoire ? Ce poste doit-il forcément être internalisé ? Le point sur le sujet.


 


- Les sanctions encourues en cas de non-respect du RGPD


Les sanctions prévues par le RGPD comportent d'importantes amendes administratives : jusqu'à 4% du chiffre d'affaires annuel mondial. De quoi faire réfléchir les retardataires !


Comment s’organiser pour être prêt ?


Voici les 5 étapes pour être en conformité d’ici mai 2018 :


1.    Structurer le projet, nommer un acteur délégué à la protection des données, définir les moyens humains et financiers


Durée : 1 mois - Structurer le projet, nommer les acteurs-clés, définir les jalons Au plus vite, il s'agira de structurer la mise en conformité. L'organisation devra désigner un coordinateur (le délégué à la protection des données) et devra allouer au projet les moyens humains et financiers nécessaires pour en assurer la réussite. Le coordinateur définira les acteurs-clés (responsable juridique, responsable SI, responsable métiers - direction commerciale et marketing etc.) et attribuera les responsabilités de chacun. Les principaux jalons devront être fixés et les ateliers des étapes 2 et 3 planifiés.


 


2.    Elaborer un registre ou seront listés les objectifs poursuivis, la nature des données traitées, les acteurs internes et externes qui traitent les données, leur localisation, les flux, les temps de conservation et le volume.


Cartographier les traitements de données personnelles, analyser la conformité de ces traitements et les risques associés La tenue d'un registre des traitements mis en œuvre dans l'entreprise est une des clés de voute du Règlement. Afin d'élaborer ce registre, les acteurs devront lister pour chaque traitement de données personnelles : la finalité du traitement (les objectifs poursuivis) ; la nature des données traitées ; les acteurs internes et externes qui traitent ces données ; la localisation de ces données ; les flux amont et aval (l'origine et la destination) ; les temps de conservation ; le volume. Pour apprécier la criticité de ces traitements, on se posera entre autres deux questions : Les données récoltées nécessitent-elles une vigilance accrue au regard du règlement (exemples : données de santé, de données biométriques, d'opinions politiques, données traitées de façon systématique aboutissant au profilage etc.) ? Les données récoltées sont-elles strictement nécessaires à la poursuite des objectifs (principe de minimisation) ? Une fois les traitements à risque identifiés, il s'agira d'évaluer si les dispositifs de maîtrise de ces risques sont appropriés. On recensera les mesures de sécurité mises en place pour protéger notamment la confidentialité et l'intégrité des données, mais également les dispositions existantes pour respecter les exigences du Règlement relatives aux droits et libertés des personnes concernées.


 


3.    Evaluer le niveau de conformité de vos processus internes


Durée 3 mois - Il conviendra ensuite de définir finement les actions à entreprendre sur 5 grands volets. Le Règlement renforce le droit à l'information et le consentement des personnes. Les modalités d'information et de collecte des données personnelles devront être revues en ce sens. Le RGPD crée également de nouveaux droits (droit à la portabilité, à la limitation, à l'oubli), qui viennent s'ajouter à plusieurs droits préexistants (droits d'accès, d'opposition, de rectification). Les process de traitement doivent être mis à jour pour que les personnes puissent exercer correctement leurs droits. En outre, les process de gestion de crise devront être ajustés pour anticiper les violations de données. Le principe de "privacy by design" devra être incorporé aux procédures de gouvernance projet, i.e. définir les besoins et mesures de protection des données dès la phase de conception d'un nouvel outil ou d'une nouvelle application. Enfin, l'entreprise devra articuler ses actions de sensibilisation à travers un plan de formation.


 


4.    Mise en place d’outils technologiques pour identifier, protéger les données sensibles.


Durée : 4 mois - Déployer les plans de remédiations définis lors des étapes 2 et 3 En parallèle de la modification des processus internes, le renforcement des mesures de sécurité pourra conduire à une réflexion quant à la mise en place d'outils technologiques, que ce soit dans le cadre de l'identification des données sensibles, de la protection des données à travers des outils de chiffrement, de pseudonymisation, d'anonymisation, ou de la détection de data breach.


 


5.    Valider la conformité de l'organisation vis-à-vis du Règlement.


Au début du mois de mars 2018, il sera judicieux de rebalayer l'ensemble des exigences du RGPD et de recenser les écarts potentiels entre celles-ci et les procédures et mesures effectivement en place. Les deux mois précédant la date butoir pourront être consacrés au déploiement des correctifs additionnels éventuels.