RGPD, la date butoire arrive à grand pas, prêt ?

Législation, règlement général sur la protection des données.

A moins de 2 mois de l’application de la nouvelle législation RGPD, on voit avec vous quelles sont les réglementations à mettre en place !

 rgpd

Premièrement, petite leçon de rattrapage pour les retardataires, le RGPD c’est quoi ?

Votée en 2016, le règlement général sur la protection des données regroupe l’ensemble des règles pour tous les traitements de données personnelles concernant un citoyen européen.

Plus simplement, cette nouvelle législation concerne toutes les entreprises collectant des données personnelles à grande échelle.

Mais alors si du point du vue du citoyen, ce règlement semble nous apporter plus de protection avec, à titre d’exemple, un droit à la portabilité simplifiée des données, à la rectification, à l’opposition ou même à la limitation du traitement, pour les entreprises, ça signifie quoi ?

 

Le RGPD c’est donc beaucoup de dispositions à mettre en place et on vous aide a y voir plus clair.

Dans un premier temps, pas la peine de céder à la panique ! Bien que la date officielle d’application soit définie pour le 25 mai prochain, la CNIL entend bien que les entreprises nécessitent une période transitoire entre ce nouveau règlement et les dispositions prévues par la précédente loi de protection de 1978. Ainsi, le RGPD réclamant, initialement, une analyse d’impacts concernant les données susceptibles de présenter un risque élevé, a revu cette disposition, la CNIL ayant défini un délai de 3 ans maximum pour la réalisation de cette dernière.

 

Du coup, quelles sont les priorités ?

 

Un consentement clair

Aujourd’hui, plus question de supposer le consentement de l’internaute quant à la collecte de ses données, toute entité procédant à la collecte et au traitement de données personnelles doit obtenir au préalable un accord écrit, clair et explicite des individus. D’autre part, ce dernier peut retirer son consentement à n’importe quel moment et cela sans avoir à donner de justification. On entend donc ici la nécessité de visualiser clairement le consentement de l’internaute et cela soit par le biais d’une phrase qu’il écrira de lui-même ou en lui laissant le soin de cocher une case requise.

Concernant les mineurs de moins de 16 ans, le consentement d’un tuteur sera alors exigé.

 

Registre des traitements

Une fois le consentement clairement identifié, il vous faudra tenir un registre de tous les traitement répondant aux questions suivantes :

  • Pourquoi les données sont-elles collectées ?
  • Depuis quand ?
  • Pour quelle durée ?
  • Quelle sécurité autour de ces données ?

Mais il vous faudra aussi informer quant au partage de ces données :

  • Avec quelle société partagez vous ces dernières ?
  • Comment ces sociétés les exploitent-elles ?

 

Définir le périmètre des données sensibles

Il vous faut cartographier vos différentes données : simples données nominatives, d’ordre privé ou encore données bancaires.

 

Suivre les contrats fournisseurs

Plus d'immunité pour les sous-traitants ! Le règlement met en place un principe de coresponsabilité, vous avez donc la responsabilité de vous assurer du respect de leurs nouvelles obligations.

 

Former un DPO et plus largement informer toute votre équipe

Le DPO, data protection officer exercera le contrôle de l’application en interne des règles de protection des données. Il vous faudra donc en désigner un au sein de votre entreprise, en faire l’embauche ou encore faire appelle à une organisation extérieure afin d’en obtenir les services.

En plus de ce poste clé, il est impératif de définir une charte de bonne pratiques à laquelle chacun de vos employés devra se référer concernant le traitement des données.

 

Prévoir la fuite de données

Vous devez préparer un plan d’actions en cas de perte ou de violation des données personnelles, aussi bien en terme de communication de crise que concernant la procédure d’informations visant les internautes. En effet, la CNIL doit être avertie dans les 72h après connaissance du problème mais il vous est aussi demandé de prévenir les individus concernés « dans les meilleurs délais ».