RGPD

Prêt pour le RGPD

Le Règlement Général sur la Protection des données personnelles ou RGPD est le texte de référence en matière de protection des données personnelles.
Depuis le 25 mai 2018, il est applicable dans tous les états membres de l’union européenne. Il s’appliquera en Polynésie française en juin 2019.

Encore une nouvelle norme européenne. Une de plus, me direz-vous ? A juste titre, vous vous posez de nombreuses questions ? Qu’’ai-je à gagner à me lancer dans une démarche RGPD ? De quoi s’agit-il ? comment vais-je m’y prendre ? qu’est-ce que je risque ?

La donnée personnelle au cœur de votre système d’information

Qu’est-ce qu’une donnée personnelle ? toute information qui permet d’identifier une personne physique est une donnée personnelle. Dans le cadre de vos activités professionnelles, vous êtes tous amenés à traiter des données personnelles. Un simple fichier Excel avec des noms, des prénoms et des numéros de téléphones, une liste de contacts écrite sur du papier, suffisent à vous faire entrer dans le champ d’application du RGPD, pour peu que la personne concernée par ces données soit résidente de l’union européenne.

Les données sensibles, un sujet sensible

Parmi les données personnelles, les données sensibles sont celles dont le traitement va causer des risques importants pour les personnes. Elles sont clairement définies par la loi. Elles concernent toutes les données qui ont trait à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale, au traitement des données génétiques, aux données biométriques aux fins d’identifier une personne physique de manière unique, aux données concernant la santé, et aux données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. principe, elles ne peuvent faire l’objet d’un traitement…sauf cas prévus par la loi.

Le RGPD, une question de principes

Six principes sont à respecter lorsque vous collectez, traitez ou conservez des données personnelles : la licéité, la limitation des finalités, la minimisation des données, l’exactitude, la limitation de la conservation et la sécurité. Préalablement à tout traitement, il faut vous poser les questions suivantes : pourquoi je collecte ces données ? est-ce que c’est pertinent ? pour quelle durée ? est-ce que j’ai informé les personnes concernées ? est-ce que les données sont sécurisées ? En respectant ces principes vous avez fait un pas sur le chemin qui mène à la conformité.

Avantage aux citoyens !

Les objectifs de la réglementation européenne : redonner aux citoyens le contrôle de leurs données personnelles, et responsabiliser les entreprises. Elles ont désormais l’obligation d’information et de transparence concernant les données qu’elles possèdent sur leurs clients. Elles doivent apporter la preuve de leur conformité au RGPD et permettre aux citoyens l’exercice réel de leurs droits : droits de portabilité, d’accès, de rectification, d’opposition, de limitation et d’effacement (droit à l’oubli).

La portabilité, c’est pratique

Conserver son numéro de téléphone et changer d’opérateur de téléphonie mobile est une réalité en métropole. Tout le monde n’a pas envie de mémoriser un nouveau numéro de téléphone, pas plus qu’il ne souhaite que ces contacts ne parviennent plus à le joindre. Ce droit à la portabilité consiste à récupérer ses données et à les transférer librement d’un système d’information à un autre dans un format qui soit lisible par machine dans le but de les conserver ou de les réutiliser

L’Europe en avance

Face aux nouvelles technologies qui peuvent mettre en danger la vie privée des citoyens, Le législateur a voulu renforcer les droits des personnes et leur garantir une meilleure protection de leurs données. Les quatre géants du web, désignés sous l’acronyme GAFA (google, Apple, Facebook, Amazon) ne sont pas étrangers à la genèse de cette nouvelle réglementation. En effet, Les entreprises établies hors de l’union européenne sont visées par cette norme européenne à partir du moment ou les traitements des données personnelles visent des résidents européens. Il aurait été dommageable pour les sociétés du vieux continent de devoir se plier à des règles que d’autres n’auraient pas à respecter.

De 20 millions d'euros jusqu'à 4% du CA

Il peut vous en coûter cher, en cas de non-respect des principes du RGPD, car en plus des sanctions financières, La CNIL (commission nationale informatique et libertés), organisme de contrôle, possède un arsenal de mesures à sa disposition: avertissement, mises en demeure, injonction de cesser le traitement… Elle n’hésite pas à en faire usage.

« La formation restreinte de la CNIL a prononcé une sanction de 250.000 euros à l’encontre de la société OPTICAL CENTER pour avoir insuffisamment sécurisé les données de ses clients effectuant une commande en ligne à partir de son site internet. »
(Source : cnil.fr)

Menaces ou opportunités

Le principe de responsabilisation des entreprises comporte de nombreuses obligations. Mais en assurant aux citoyens de la transparence, et le respect des droits des personnes, c’est la confiance et l’image de marque qui est renforcée. La gestion rigoureuse des données (mise à jour) et des process (minimisation, pertinence …) ne va pas sans améliorer l’efficacité commerciale. Enfin en augmentant les mesures de sécurité pour protéger les données : les clients sont rassurés. Transparence et confiance dans les relations assurent des relations qui s’inscrivent dans la durée.

Documenter, c’est prouver

Pour être transparent, le règlement européen a prévu des outils. En matière de RGPD, La bible, c’est le registre des traitements. La loi vous oblige ou vous suggère fortement de détenir un registre des traitements ou sont consignés la liste des traitements. Une fois constitué, il peut servir à démontrer cette conformité à tout moment sur demande d’un organisme de contrôle tel que la CNIL.

Y-a-t-il un pilote dans le RGPD ?

Différents acteurs interviennent pour assurer la protection et la documentation des données personnelles. Tout d’abord, le responsable de traitement est la personne qui dans une organisation définit les finalités des traitements : c’est le dirigeant de l’entreprise. Il est épaulé par le DPO dans les organisations publiques ou celles qui ont plus de 250 salariés.

Le DPO ou Data Protection Officer est amené à remplacer le CIL (correspondant informatique et libertés), il a pour mission de conseiller, d’informer, de contrôler le respect du règlement et reste l’interlocuteur privilégié de la CNIL. Il est considéré comme le chef d’orchestre du RGPD. La notification des violations de données à la CNIL ou encore la conduite des analyses d'impact en cas de risques pour les données peuvent entrer dans le cadre de ses missions. Pour les petites entreprises qui n’ont pas les moyens d’avoir du personnel dédié aux missions précitées, il pourra être fait appel à un salarié qui jouera le rôle du DPO.

On ne badine pas avec la sécurité

Les entreprises traitent des données personnelles, et chaque jour, elles sont de plus en plus nombreuses (fichiers clients, prospects, fournisseurs...). Pour prendre soin de ce patrimoine informationnel, les organismes doivent mettre en place des mesures de protection techniques et organisationnelles appropriées. Vous avez l’obligation légale d’assurer la sécurité des données que vous traitez. Avez-vous pensé à évaluer le niveau de sécurité de votre organisme ? L’antivirus, est-il à jour ? les mots de passe ont-ils été changé récemment ? Autant de mesures simples et de bon sens qui vous permettront de faire un pas de plus vers la conformité au nouveau règlement européen.

Le RGPD en ordre de marche

Vous l’avez compris, les enjeux sont importants. L’équipe de IAORA SYSTEMS se propose dès lors de vous accompagner tout au long de ce processus de mise en conformité : au menu, des missions d’audit, des conseils, et un panel de solutions adapté à vos besoins.

Juin 2019 approche, Il est temps de se préparer !!!

Revue initiale de conformité à la Loi :
  • Effectuer un état des lieux (inventaire des traitements et de données privées),
  • Réaliser un diagnostic sur la conformité au RGPD du Client,
  • Identifier les actions correctrices sous forme de recommandations et de plan d’actions priorisées.
Les livrables prévus :
  • Le registre des traitements en format numérique, Le rapport de Revue initiale de conformité,
  • Le plan d'action pour la mise conformité au RGPD