Le Règlement européen sur la Protection des Données Personnelles

Retrouvez l’ensemble des fichiers à télécharger en bas de cette page..

RGPD

Le nouveau règlement européen sur la protection des données personnelles est paru au journal officiel de l’Union européenne est entré en application le 25 mai 2018. L’adoption de ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique.

LA RÉFORME DE LA PROTECTION DES DONNÉES POURSUIT 3 OBJECTIFS :

  1. Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  2. Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  3. Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Comment se préparer à la transition RGPD?

Votre entreprise commence sa transition ou n’a pas totalement effectué sa transition vers le RGPD ? Voici quelques conseils pour faciliter l’adaptation de votre structure à ces exigences :

1. SENSIBILISEZ VOS COLLABORATEURS

La première clé pour une adaptation réussie à la réglementation RGPD est de sensibiliser, et ce en amont de toute action, l’ensemble des personnes décisionnaires de votre entreprise à ce changement de loi.

2. IDENTIFIEZ VOS DONNÉES SENSIBLES

Il est important dès à présent de déterminer les données à caractère personnel que vous détenez, d’identifier leur provenance et avec qui ces données sont ou seront partagées.

3. AUDITEZ VOS MACHINES SENSIBLES

Un travail d’audit régulier est conseillé dans ce sens : le RGPD exigera de garder une trace de toutes ces opérations suivant le principe de transparence et de conformité.

Il est également conseillé aux entreprises de suivre les normes et bonnes pratiques de sécurité de l’Information au sein même de leur organisation et de prouver leur bonne foi en cas de contrôle des autorités concernées. Dans ce sens, une organisation peut, par exemple, mettre en place un Système de Management de la Sécurité (certification ISO 27001).

4. AUTOMATISEZ LES AVERTISSEMENTS ENVERS VOS CLIENTS

Assurez-vous également que vos avertissements concernant la collecte potentielle de données personnelles soient à jour. Pour ceci, vous devez bien prévenir les clients du but de cette collecte et de leurs droits les concernant (droit d’opposition, de rectification et d’effacement, droit à la limitation du traitement, droit à la portabilité et d’accès concernant ces données). N’oubliez pas d’actualiser les accords déjà existants s’ils ne respectent pas le Règlement.

5. FAITES ATTENTION AUX SPÉCIFICITÉS DE VOS CLIENTS

Réfléchissez aussi à un processus qui aura pour but d’identifier les spécificités de vos clients, par exemple pour l’âge de ces clients. En effet, tout individu ayant moins de 16 ans a une protection et un statut particulier grâce au RGPD : il sera donc interdit de stocker ses données personnelles sans autorisation d’une personne titulaire de l’autorité parentale.

6. NOTIFIEZ DES VIOLATIONS DE DONNÉES

Assurez-vous d’avoir bien mis en place les procédures nécessaires pour détecter, identifier toute violation des données personnelles : si une violation est bien effective, vous aurez alors 72 heures pour en notifier la CNIL. Si la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, il faudra aussi notifier les personnes concernées dans les meilleurs délais.

7. AMÉLIOREZ VOS PROCESS DE TRAITEMENT DES DEMANDES CLIENTS

Prendre en compte la façon avec laquelle vous choisirez d’interagir avec les clients, par exemple, dans le cas d’une demande de suppression de données personnelles, sera tout aussi important. Pensez à analyser si la structure actuelle de votre organisation vous permet de gérer ces demandes (droit d’accès, droit d’opposition, droit de rectification et d’effacement, droit à la limitation du traitement, droit à la portabilité), et quelles mesures organisationnelles prendre pour pouvoir le faire. Il est à rappeler que vous devez répondre dans les meilleurs délais et en tout état de cause vous disposerez d’une délai d’un mois (et non plus 40 jours comme aujourd’hui) pour accéder à toute demande effectuée. Ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes (information de la personne concernée et motifs du report dans un délai d’un mois).

S’il n’est pas possible de répondre favorablement à la demande d’un client concernant ses données personnelles, vous devrez le prévenir (là aussi dans un délai maximal d’un mois) et les informer de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.

8. REPÉREZ LES AUTORITES CONCERNEES

Si votre entreprise opère dans plusieurs pays membres de l’Union Européenne, vous devrez bien identifier quelle est l’autorité de contrôle dont vous dépendez (en fonction du pays où votre siège social se trouve) : en France, par exemple, il faudra vous tourner vers la CNIL.

9. GÉREZ LES RISQUES POUR VOTRE ENTREPRISE EN CAS DE NON-RESPECT DU RGPD

Si votre entreprise n’applique pas à temps les mesures mises en place dans un peu moins de 10 mois, les risques encourus peuvent être colossaux et dramatiques pour votre structure, au-delà des problèmes d’image qui affecteront votre organisation.

En effet, vous encourrez d’importantes sanctions administratives qui pourront vous être infligées par les autorités nationales compétentes, passant par des amendes administratives pouvant aller jusqu’à 20 millions d’euros ou 4% du Chiffre d’Affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.