Depuis le 25 mai 2018, votre structure doit être en conformité avec le RGPD. Théoriquement, vous risquez des sanctions pénales et une amende pouvant atteindre 4% de votre chiffre d’affaires annuel La CNIL est en mesure d’effectuer des contrôles dans votre établissements et notamment suite à des plaintes. Nous vous expliquons ici l’approche à adopter pour cette mise en conformité.
Qu’est ce que le RGPD ?
Entré en vigueur le 25 mai 2018, 2 ans après l’adoption du texte, le RGPD encadre juridiquement la collecte et le traitement des données personnelles sur le territoire de l’Union Européenne. Ce règlement fait suite à la Loi française Informatique et Libertés de 1978. L’objectif est d’uniformiser et de renforcer la réglementation autour de l’utilisation des données personnelles des professionnels dans l’ensemble des pays européens. Selon la CNIL, une « donnée personnelle » correspond à « toute information se rapportant à une personne physique identifiée ou identifiable ».
Dans un monde toujours plus connecté et digitalisé, il est nécessaire d’instaurer un cadre juridique précis et strict afin que chaque donnée soit utilisée à bon escient et protégée. L’objectif est de rassurer l’internaute dans son utilisation du web afin qu’il n’ait de craintes quant au traitement de ses données personnelles. Le RGPD permet donc aux entreprises de développer leurs activités numériques au sein de l’Union Européenne tout en s’assurant de la confiance des utilisateurs.
Aussi, le “gendarme des données personnelles”, la CNIL, surveille de près le respect de ce nouveau règlement. En cas de non-respect des règles du RGPD, les entreprises risquent une amende de 2 à 4% du chiffre d’affaires annuel. En 2018, depuis l’entrée en vigueur du règlement, la CNIL a enregistré plus de 1 200 cas de violations de données personnelles. Cette situation reflète que les entreprises sont trop peu sensibilisées à la problématique de la cybersécurité et n’appliquent pas strictement le RGDP.
Comment se mettre en conformité ?
Une fois la loi RGPD et sa philosophie comprises, comment se mettre en conformité ? Existe t’il un mode d’emploi, des exemples, des guides ? L’application et l’interprétation de la loi est en constante évolution, s’adaptant sans cesse aux cas particuliers et au contexte.
Appliquer cette loi pour toutes les formes d’entreprise nécessite d’être pragmatique avec le niveau des efforts pour respecter la loi, les investissements pour sécuriser les processus et la formation du personnel, intervenant dans les processus de l’organisme.
Nous avons souhaité vous donner ici les bonnes pratiques et les bonnes questions à se poser pour vous mettre en conformité.
Faire la démarche seul n’est pas impossible mais l’expérience d’un expert RGPD, pragmatique vous aidera à aller à l’essentiel et à trouver les solutions adaptées pour sécuriser vos processus de collecte, de stockage, de traitement et de conservation des données personnelles
Cartographier et anticiper les risques
Dans le cadre de leur plan d’action pour se mettre en conformité au règlement européen sur la protection des données (RGPD), les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer qu’ils respectent bien les nouvelles obligations légales.
Pour être en capacité de mesurer l’impact du règlement sur votre activité et de répondre à cette exigence, vous devez au préalable recenser précisément :
- Les différents traitements de données personnelles,
- Les catégories de données personnelles traitées ;
- Les objectifs poursuivis par les opérations de traitements de données ;
- Les acteurs (internes ou externes) qui traitent ces données. Vous devrez notamment clairement identifier les prestataires sous-traitants afin d’aualiser les clauses de confidentialité ;
- Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.
Se faire accompagner pour gagner du temps
Cette démarche nécessite de définir les processus de l’entreprise, de formaliser l’audit de conformité pour chacun d’eux, notamment au niveau des moyens de sécurisation des informations personnelles manipulées.
Le modèle du Registre des Activités de traitement, dont le modèle est fourni par la CNIL, est d’une structure assez simple mais nécessite des connaissances informatiques et une approche de votre métier. En effet, les données personnelles sont captées, stockées et archivées le plus souvent sur vos outils informatiques. C’est notamment le moment d’auditer vos outils pour connaître leur niveau de sécurité.
La conformité concerne aussi les sous-traitants, co-responsables au regard du RGPD. Les contrats fournisseurs devront comprendre une clause précisant leurs nouvelles obligations et responsabilités. Cela concerne également les prestataires basés hors de l’Union Européenne (Google, Dropbox, …) pour peu qu’ils gèrent des données de citoyens européens.
Se faire accompagner par un expert RGPD est un moyen de gagner du temps et de réaliser cette démarche de manière efficace et complète.
Attention aux arnaques, car les soit disant experts peu scrupuleux vous proposent des documents types sans prendre en compte vos spécificités et l’état de vos outils, sans même se déplacer chez vous.
Vérifiez les références de votre auditeur et ses références. Un appel aux clients déjà traités est une bonne démarche pour vérifier la qualité du travail.
Pour plus d’informations : https://rgpd49.fr
Stéphane PARIS
Expert RGPD