On By admin2100
n

Quelles sont vos obligations ?

nnnn

Dans toutes les entreprises,la question du moment est “Quid du RGPD?”, nous tachons d’y répondre concrètement et de vous apporter des pistes pratiques.

nnnn

Le RGPD est le futur Règlement Général pour la Protection des Données, en anglais GDPR (General Data Protection Regulation).
Ce règlement européen mis en œuvre le 25 mai 2018 a pour objectif l’amélioration de la protection et la confidentialité des données mais aussi il a pour but :

nnnn
  • D’uniformiser la règlementation au niveau européen
  • De renforcer le droit des personnes
  • De responsabiliser davantage les entreprises en développant l’auto-contrôle
  • De pousser au respect des règles en augmentant les sanctions
nnnn

Au delà de la loi de 78, le RGPD impose aux entreprises une logique de responsabilisation (l’Accountability) en “contraignant le responsable du traitement à prendre toutes les mesures requises pour garantir la conformité du traitement”.

nnnn

nnnn

Quelles données sont considérées comme personnelles ?

nnnn

Liste non exhaustive : nom, adresse, localisation, identifiant, IP… autrement dit toutes les données qui permettent d’identifier directement ou indirectement une personne. Vaste !
Quels fichiers sont concernés ?

nnnn

En fait tous les fichiers sont concernés par la protection des données, de votre fichier Excel construit à la va-vite pour envoyer un emailing, à vos bases de données de prospects, salariés, visiteurs de votre site… A partir du moment où les fichiers contiennent des données personnelles, qu’ils soient utilisés, stockés, en cours de collecte ou de création, ils sont concernés.

nnnn

nnnn

Quelles vont être les obligations ?

nnnn

Elles sont nombreuses et sans doute un peu confuses pour les non initiés (et pour les autres aussi d’ailleurs), en voici une synthèse :

nnnn
  • Informer > les personnes doivent comprendre par qui, pour quoi, jusqu’à quand seront enregistrées leurs données, mais aussi être alertées si leurs données ont fuitées ou ont été détournées de ce qui était prévu au départ.
  • Obtenir le consentement > Les personnes doivent sans aucune ambiguïté affirmer leur accord pour toute collecte de leurs données : elle doit être licite et loyale.
  • Permettre le refus > Les personnes doivent pouvoir obtenir la destruction de leur données de vos fichiers ou simplement refuser que leurs données soient exploitées en marketing direct.
  • Protéger les données sensibles > Garantir que les données de santé, race, orientation sexuelle.. sont protégées efficacement.
  • Alerter > Toute faille dans le système doit faire l’objet d’une notification auprès de l’autorité de contrôle.
nnnn

nnnn

Avez-vous besoin d’un DPO ?

nnnn

Le DPO (Data Protection Officerou Délégué à la Protection des Données) est la personne en charge du respect des règles du RGPD. Il peut être interne à l’entreprise ou externalisé.

nnnn

Votre entreprise a besoin d’un DPO si elle traite des données sensibles à grande échelle, donc ne concerne normalement que les entreprises dont le traitement des données est l’activité principale ou si ces données sont particulièrement sensibles.

nnnn

Si vous n’avez pas besoin de DPO, ceci ne signifie pas que vous n’avez rien à faire bien au contraire. Toutes les règles énoncées plus haut sont évidemment de rigueur et pour être parfaitement en phase avec le RGPD il faudra sans doute très rapidement que les entreprises revoient leursprocédures de collecte, de stockage et d’utilisation de leur fichiers.

nnnn

nnnn

Quels sont les risques ?

nnnn

On pensera d’abord aux sanctions financières pouvant aller jusqu’à 20 millions d’euros et obligation de réparations des dommages causés, voire sanctions pénales. Mais avant d’en arriver à cette extrémité, il y a un risque de suspension des traitements, on imagine les conséquences pour l’activité de l’entreprise et son impact impact négatif sur l’image de l’entreprise, sa réputation et la perte de confiance induite.
Nos recommandations :

nnnn

Il semble raisonnable de se préparer dès maintenant de façon pratique, c’est pourquoi nous vous proposons une checklist des points à appréhender sérieusement pour ne pas se faire surprendre le jour J :

nnnn
  • Assurez-vous que vous n’avez pas besoin de DPO, dans la grande majorité c’est non, mais ça peut aider. Ou tout au moins désigner un responsable qualifié,
  • Identifiez le périmètre des données sensibles que vous devez gérer,
  • Répertoriez tous les fichiers concernés et vérifier qu’ils sont conformes à la directive,
  • Revoyez toutes les procédures de consentement et les informations que vous diffusez à vos futurs contacts,
  • Eliminez tous les données récoltées de façon illicite ou déloyale ou repassez les en validation (Opt-in voire double Opt-in),
  • Vérifiez la protection effective des données,
  • Anticipez les procédures d’alertes auprès des personnes enregistrées dans vos fichiers et vers la CNIL,
  • Communiquez en interne, par une information, une charte…
nnnn

(Source : Axellescom.com)

n

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *