Le GDPR ou RGPD en français pour Règlement Général sur la Protection des Données est un nouveau règlement européen qui entrera en vigueur dès le 25 mai 2018 et qui va bouleverser la manière dont les entreprises gèrent et traitent les données de leurs clients.
Êtes-vous prêt pour le RGPD ?
Ce nouveau règlement très contraignant c’est plus de 100 pages d’obligations, 99 textes de loi et surtout… 20 millions d’euros d’amande ou jusqu’à 4% du CA pour les grandes entreprises en cas de non respect. Autant dire qu’il faut le prendre au sérieux et le mettre en application dès maintenant. Voyons si vous êtes prêts et comment s’y préparer.
Qui est concerné ?
Toute entité qui collecte des données à caratcère personnelles (un nom, un prénom, un email, une adresse…) en Europe. En résumé, quasiment toutes les entreprises et associations.
Le but de la réforme
- Renforcer les droits des personnes en matière de données personnelles en imposant de recueillir le consentement au traitement des données personnelles.
- S’assurer d’une application très large du règlement à toute entité qui traite des données personnelles de personnes en Europe.
5 actions à mettre en œuvre
1. Minimiser les données collectées
Et optimiser le type de données selon leur utilisation. Par exemple, pour l’envoi d’une newsletter, ne collectez que l‘adresse email (et un prénom éventuellement). Ne collectez pas de données dont l’utilisation n’est pas justifiée.
2. Mettre en place un registre de conformité
Mises à part les entreprises de moins de 250 salariés, vous devrez mettre en place un registre de conformité des traitements de données personnelles. Dans tous les cas, le chef d’entreprise devra s’assurer que le règlement est bien respecté dans son organisation. Des logiciels spécifiques permettent de gérer ces registres.
3. Eviter de traiter les données sensibles
Liste des données dont la collecte (sauf cas particuliers) est interdite :
3 nouveaux types :
- Données génétiques
- Biométriques
- Orientation sexuelle des personnes
Liste ancienne des données sensibles
- Origines raciales ou ethniques
- Opinions politiques, philosophiques ou religieuses
- Appartenances syndicales des personnes
- Données de santé, vie sexuelle
4. Mettre en place des mentions légales
Déjà la loi informatique et liberté imposait d’informer l’utilisateur dont vous collectez les données personnelles d’un certain nombre de mentions légales.
l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement Ces mentions doivent être affichées au moment ou les données sont obtenues.
- coordonnées du DPO s’il y a (Data Protection Officer)
- finalités du traitement
- les intérêts légitimes du responsable du traitement
- les destinataires des données à caractère personnel
- le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale
- la durée de conservation des données à caractère personnel ou, les critères utilisés pour déterminer la durée
- l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci
- le droit d’introduire une réclamation auprès d’une autorité de contrôle
- des informations sur le caractère réglementaire ou contractuel de la fourniture de données à caractère personnel ainsi que sur les conséquences éventuelles de la non-fourniture de ces données
- l’existence d’une prise de décision automatisée, y compris un profilage.
5. Garantir la sécurité des données personnelles
Le texte n’entre pas dans les détails techniques, mais la sécurité des données personnelles doit être assurée par tous les moyens techniques et des mesures de sécurité appropriées.
Le responsable du traitement doit notifier à la CNIL toute violation (de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données) de données personnelles sous 72h maximum.
Conclusion : Mettre en place ce nouveau réglement constitue un véritable challenge pour les entreprises et l'échéance du 25 mai 2018 approche à grands pas. Il est donc très important de rapidement se sensibiliser au texte et à l’ensemble de ses obligations et de le mettre en application au plus vite.