RGPD : le guide complet

RGPD : qu'est-ce que c'est ?

Le Règlement général de la protection des données (RGPD) est entré en vigueur le 25 mai 2018 et a pour objectif d’harmoniser la politique de protection des données sur l’ensemble du territoire Européen.

Le RGPD vise à responsabiliser toutes les entreprises qui collectent, traitent et utilisent des données personnelles en les soumettant à de nouvelles obligations.

Le RGPD permet à tous les citoyens de l’UE d’obtenir une meilleure visibilité sur l’utilisation des leurs données personnelles et renforce leur sécurité

Les principes clé

1

Déclaration obligatoire : les traitements de données personnelles doivent obligatoirement être déclarés à la CNIL. Ce point n’est pas nouveau mais toute négligence est désormais passible de sanctions graves.

2

Sécurité par défaut : les entreprises et responsables de traitement se doivent de notifier aux autorités et personnes concernées les failles de sécurités susceptibles d’impacter les données personnelles.

3

Responsabilisation : les entreprises sont tenues de mettre en place des mécanismes ainsi que des processes internes afin de prouver leur conformité au Règlement Général de la Protection des Données en cas de contrôle des autorités.

4

Registre des données personnelles : il est recommandé à toute entreprise de nommer un responsable de traitement pour la tenue d’un registre des données personnelles, obligatoire pour les organismes publics et/ou traitant à grande échelle des données sensibles ou de suivi des personnes.

5

Respect de la vie privée : la protection des données doit être prise en compte dès la conception du produit ou service.  L’objectif de cette pratique est la minimisation des risques de violation des données par la mise en place de mesures adaptées sur chacune des étapes de la vie du produit.

Qui est concerné ?

Toutes les entreprises, associations et organismes sociaux faisant parties de l’Union européen devront se soumettre à ces nouvelles obligations concernant la protection des données personnelles. Les entreprises ayant leur siège social hors UE mais traitant des données des citoyens membres de l’UE devront également se soumettre au RGPD.

En cas de contrôle de la CNIL, toute entreprise non conforme à ce nouveau règlement s’expose à des risques importants. Celle-ci indique par ailleurs qu’elle fera un exemple dès les premiers jours de la mise en vigueur du RGPD.

Quels sont les risques ?

Risque financier

Toute société contrôlée ne respectant pas la le règlement de protection des données s’expose à une amende pouvant aller entre 4% de son chiffre d’affaire monde annuel et 20 millions d’euros. Le montant le plus élevé étant retenu.  Cet aspect financier peut très rapidement perturber l’activité et impliquer une réduction de la production (diminution des effectifs, réorganisation de l’entreprise, etc.)

Risque réputationnel

Outre l’aspect financier, l’entreprise s’expose à un fort enjeu réputationnel. Toute sanction prise par la CNIL est rendue publique par les autorités. La valeur de la société sera donc fragilisée par une couverture presse peu glorifiante. La conséquence directe étant une perte de confiance des clients et partenaires, des pertes de marché et des frais de communication importants.

Assurez à votre entreprise une mise en conformité au RGPD sans accrocs

Bien se préparer

Pour appréhender la mise en conformité de l’organisme au règlement sur la protection des données, il convient de bien se préparer. Pour cela, il convient de construire une stratégie solide s’appuyant sur six piliers majeurs :

Désignation d'un pilote

Une autorité est nommée pour prendre en charge le processus de mise en conformité de l’entreprise. Il prendra généralement la position de DPO, Data Protection Officer.

Ses actions principales englobent l’identification des chantiers de mise en conformité, leur coordination et la mobilisation des ressources nécessaires à leur exécution.

Il contrôle la bonne exécution du nouveau règlement de protection des données personnelles (RGPD).

Il est l’interlocuteur privilégié avec la CNIL.

Cartographie

L’ensemble des données et flux au sein de l’organisme sont identifiés, analysés et cartographiés.

Les traitements impliquant des données personnelles sont isolés, et triés par criticité/sensibilité et niveau de protection.

Cette étape de cartographie est exploitée dans la construction d’une stratégie de régularisation ainsi que pour la construction du registre des traitements, obligatoire pour les sociétés de plus de 250 salariés.

Hiérarchisation

Une fois les données cartographiées, il devient nécessaire de prioriser les actions de régularisation à mettre en place.

  • Ré-examination des contrats passés avec les sous-traitants
  • Vérification de la charte informatique en place
  • Identification des traitements à risque
  • Audit des règles de sécurité en action

Gestion du risque

Il est essentiel de déterminer, dans un premier temps, les impacts sur la vie privée induits par les traitements puis, dans un second temps, les réponses adaptées à déployer. A cet effet, des études seront menées sur les flux de données de l’organisation.

Ajustement

Réorganisation des processus pour une protection des données personnelles maximale.

Un éveil est obligatoire auprès des équipes qui composent l’organisme afin de sensibiliser sur les bonnes pratiques pour la protection des données personnelles, par exemple à l’occasion de formations.

Application des principes clé du RGPD : responsabilité, sécurité par défaut, respect de la vie privée, etc.

Documentation

Mise en place d’une assistance pour l’application du principe de responsabilisation à travers une documentation démontrant la conformité de l’organisme au RGPD, mis à jour régulièrement pour épouser les changements de processus.

DolceVista vous accompagne dans votre mise en conformité RGPD

Le rôle du Data Protection Officer (DPO)

Le RGPD impose la nomination un DPO (Data Protection Officer) dans trois cas :

  • Le traitement des données personnelles est effectué par une autorité ou un organisme public
  • Les activités de base de l’organisme consistent en des traitements exigeant un suivi régulier et systématique à grande échelle des personnes concernées (profilage, ciblage publicitaire, etc.)
  • Lorsque l’activité implique le traitement à grande échelle de données sensibles ou relatives aux condamnations et infractions spéciales

Qu’il soit interne ou externe à la société, son rôle est d’informer et de conseiller les responsables de traitement (ou les sous-traitants) ainsi que les clients sur le traitement de leurs données personnelles.

Il se doit également de contrôler le respect de la réglementation sur les données personnelles. Il valide la conformité en chaque début de projet et sensibilise le chef de projet sur les problématiques du respect de la donnée personnelle. Le DPO est l’interlocuteur privilégié avec les autorités.

Qu'est-ce qu'une donnée personnelle ?

Une donnée personnelle couvre toutes les informations directes et indirectes permettant d’identifier une personne.

Un nom, une date de naissance mais également adresse IP, login, identifiant carte SIM sont considérées comme données à protéger.

Une attention toute particulière doit être portée aux données discriminantes telles que couleur de peau, âge, sexe, religion, etc.

DolceVista vous accompagne

Conscient de l’impact majeur que représente la mise en conformité de votre entreprise au règlement RGPD, DolceVista prend les devants et déploie son expertise pour vous assister dans la définition d’une stratégie d’adaptation et un déploiement sans douleur sur chaque étape.

Les experts DolceVista ont sélectionné une suite d’outils adaptés au ciblage et à la protection des données personnelles. Au final, c’est toute votre entreprise qui bénéficie de processus plus fluide et d’une sécurité maximale. De quoi aborder le mois de mai 2018 en toute sérénité.

DolceVista vous accompagne dans votre mise en conformité RGPD