Actualités

RGPD, quels impacts à compter du 25 mai 2018 ?

Vous avez certainement entendu parler du RGPD 2018, un Règlement Européen, applicable dès le 25 mai 2018, qui vient renforcer les droits des citoyens européens et qui impose en conséquence aux entreprises d’optimiser le traitement et la protection des données ayant un caractère personnel.

Comme le précise la CNIL, les entreprises devront suivre 6 étapes pour être parfaitement en conformité avec la règlementation (RGPD 2018), sous peine de se voir sanctionner lourdement en cas de manquement.

1. Désignation d’un délégué à la protection des données : cette personne a la responsabilité d’informer, de sensibiliser aux bonnes pratiques, de conseiller tant en interne qu’en externe ainsi que de contrôler le respect et l’application du règlement. Ce 1er critère est obligatoire, si vous êtes un organisme public ou une entreprise gérant des données dites sensibles à grande échelle. Cependant, la CNIL préconise fortement de désigner une personne qui sera en mesure de dialoguer avec les autorités, même si vous ne rentrez pas dans ces critères.

2. Recensement des traitements de données personnelles : votre entreprise doit établir un registre détaillant tous les traitements de données personnelles (collecte, enregistrement, extraction, consultation, transmission, destruction…) et vérifier qu’ils sont conformes à la nouvelle règlementation 2018. Pour chaque traitement, vous devez identifier toutes les catégories de données liées à une personne physique identifiée ou identifiable, préciser les objectifs de chaque traitement (démarchage, enquête de satisfaction…), déterminer les acteurs internes et externes traitant les données et transcrire le parcours des données. Notez que la déclaration obligatoire à la CNIL disparaît au profit de la tenue du registre des traitements.

3. Mise en conformité des traitements : vous devez porter une attention particulière à tous les points descriptifs de vos traitements (bases juridiques, mentions d’information et modalités des droits des personnes, proportionnalité des données recueillies vis-vis des objectifs, respect des obligations par vos sous-traitants, mesures de sécurité en place) et mener les actions correctrices au besoin.

4. Gestion des risques : lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits des personnes physiques, il est demandé aux entreprises de mener une analyse d’impact sur la protection des données (PIA). Il existe ainsi 9 critères à prendre en compte pour évaluer le niveau de risque. Si 2 critères sont réunis, l’analyse d’impact devient alors obligatoire.

5. Mise en place de processus internes : il est exigé des entreprises de sensibiliser leurs collaborateurs, de traiter les réclamations et demandes et également de notifier dans les 72h, les autorités et les personnes physiques concernées en cas de violation de données.

6. Formalisation écrite de votre mise en conformité : votre entreprise doit constituer un dossier complet, régulièrement mis à jour, contenant le registre des traitements, les analyses d’impact sur la protection des données, l’encadrement des transferts de données, les communications internes de sensibilisation et d’information, les modèles de recueil de consentement, les contrats avec les sous-traitants, les procédures internes en cas de violation des données, les preuves des consentements.

Qu’est-ce que la CNIL ? La Commission Nationale de l’Informatique et des Libertés est le régulateur des données personnelles. Pour en savoir plus, rendez-vous sur le site web www.cnil.fr.

Notre entité PROGETEL est en mesure de vous accompagner sur le plan de la sécurisation des données.