1. Qui est concerné ?Le RGPD s’applique à toute entreprise traitant des données à caractère personnel (DCP) concernant des personnes résidant sur le territoire de l’UE, que l’entreprise soit établie ou non dans l’UE. Show
Le RGPD s’applique aux responsables du traitement des données et à leurs sous-traitants. Le responsable du traitement est considéré comme acteur économique responsable. C’est à lui de prendre les mesures techniques et organisationnelles visant à garantir le respect de la règlementation. Il n’a plus à déclarer son traitement, ni à solliciter une autorisation préalable. En revanche, il se doit de tout documenter. (source : lemagIT) Les responsabilités sont partagées et davantage précisées entre le responsable du traitement et le(s) sous-traitant(s). À titre d’exemple, si une personne concernée par un traitement de données subit un dommage parce que le règlement n’a pas été respecté, celle-ci pourra se retourner contre le responsable du traitement, et/ou contre le sous-traitant. En effet, ils sont tenus
solidairement responsables du dommage subi par la personne. (source : 1819) 2. Que sont les données à caractère personnel ?Il s’agit de toutes les informations concernant une personne physique identifiée ou identifiable, y compris les données personnelles indirectes (ex : identifiants et mots de passe). Le RGPD s’applique aux traitements des données personnelles, qu’ils soient automatisés ou non. Chaque entreprise, petite ou grande, traite des données à caractère personnel (données des employés, base de données clients et prospects, listes de mailing, données comptables, CV de candidature, etc.) Quotidiennement, vous transmettez des renseignements personnels au monde extérieur : en demandant une carte de fidélité au
supermarché, en vous inscrivant à un cours de danse ou en participant à un concours … Vous n’avez, en général, aucun contrôle sur ce qu’il advient de toutes ces données. (Innovatec) 3. Ce qui change : droits étendus pour les personnesGrâce à ce nouveau réglement les personnes reprennent le contrôle de leurs données personnelles. Elles bénéficient de nouveaux droits :
4. Nouvelles obligations pour les entreprisesChaque entrepreneur est responsable des données qu'il traite. Il doit protéger les droits des personnes qui lui communiquent leurs données. Cela induit un certain nombre d’obligations. LA BASE : PROTECTION ET TRANSPARENCE
LA GOUVERNANCE : DOCUMENTER ET PROUVER On parle beaucoup de « responsabilisation » (accountability) des entreprises. C’est à l’entreprise de prouver qu’elle est conforme à la nouvelle réglementation. Nouveauté : cela concerne aussi les sous-traitant (qui sont tenu de respecter les mêmes règles même s’ils ne sont pas implantés dans un pays européen). En fonction du type de données traitées, vous devrez tenir un registre. Celui-ci n’est obligatoire que si le traitement des données est régulier ou s’il s’agit de données dites sensibles. En fonction de la taille de l'entreprise, il y aura lieu de nommer un délégué à la protection des données (DPO). Mais ceci ne s’applique qu’aux entreprises de plus de 250 personnes. LA PRÉVENTION : ANALYSE D'IMPACT Des analyses d’impact peuvent être obligatoires pour les traitements à haut risque, comme :
LES SANCTIONS Les entreprises qui ne respecteront pas le nouveau règlement pourront être condamnées à de lourdes amendes administratives, pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel de l’entreprise. 5. Comment s'y préparerFace à cette nouvelle réglementation, chaque entreprise devra avoir une attitude proactive et prendre toutes les mesures pour protéger les données personnelles traitées. 1. Cartographier : les données et leur utilisation 2. Sensibiliser : les collaborateurs concernés, désigner un pilote le cas échéant. 3. Minimiser : n’utiliser que les données nécessaires, limiter le stockage et gérer l’obsolescence 4. Analyser et gérer les risques : mettre en place des mesures pour protéger les personnes 5. Sécuriser et organiser : restreindre l’utilisation et assurer la confidentialité des données 6. Documenter et gouverner : disposer d’une documentation démontrant que vous respectez les obligations prévues et assurer la conformité à long terme. Plusieurs outils ou technologies peuvent aider à améliorer le traitement des données :
Plusieurs organismes ont préparé des documents pour vous guider dans vos démarches.
Par qui vous faire aider ? Où trouver des réponses à vos questions ?
LA CHECKLIST 6. Pour aller plus loinTEXTE COMPLET DU RÈGLEMENT (UE) 2016/679)
UN SITE TRÈS RICHE
LIVRES BLANCS, GUIDES ET DOCUMENTS POUR EN SAVOIR PLUS ET SE PRÉPARER
Quelles sont les obligations RGPD ?Informer les clients de leurs droits d'accès, de rectification, d'opposition et de suppression des informations collectées. Veiller à la sécurité des systèmes d'information. Assurer la confidentialité des données. Indiquer une durée de conservation des données.
Qui doit se conformer à la RGPD ?En effet, le RGPD s'applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors : qu'elle est établie sur le territoire de l'Union européenne, ou que son activité cible directement des résidents européens.
Quelles sont les quatre étapes à respecter dans le cadre du RGPD ?le consentement de la personne concernée, etc.) ; qui a accès aux données (les services internes compétents, un prestataire, etc.) ; combien de temps vous conservez les données (la durée de conservation) ; comment les personnes peuvent exercer leurs droits (via leur espace personnel.
Qu'estLa conformité au RGPD n'est pas une certification validée à un instant T, mais un nouveau processus d'amélioration continue au sein de l'entreprise. L'objectif d'un projet de mise en conformité au RGPD est d'atteindre un niveau de protection suffisant et adéquat compte tenu des risques.
|