Vous devrez être en conformité dans








6 étapes pour être en conformité

1 - Désigner un copilote

Afin de piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable pilote qui aura pour mission d’informer, de conseiller et de contrôler en internes. D'ici mai 2018, vous pouvez d’ores et déjà désigner un correspondant Informatique et Libertés (CIL), qui vous permettra d’organiser les futures actions à mener.

2 - Cartographier vos données

Pour mesurer efficacement l’impact du règlement européen sur la protection des données de votre structure, commencez par recenser de façon précise les traitements de données personnelles que vous mettez en oeuvre. La tenue d’un registre des traitements vous permet de faire le point.

3 - Prioriser les actions

A partir du registre des traitements de données personnelles que vous aurez préalablement établi, vous serez en mesure d'identifier les actions à mener pour vous conformer aux obligations actuelles et à venir. Commencez par prioriser ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

4 - Gérer les risques

Si vous avez identifié un ou plusieurs traitements de données personnelles comme étant susceptibles d’engendrer des risques plus ou moins élevés pour les droits et libertés des personnes concernées, vous devrez conduire, pour chacun de ces traitements, une étude d’impact sur la protection des données (en anglais, Privacy Impact Assessment ou PIA).

5 - Organiser les processus

Afin de garantir en permanence un haut niveau de protection des données personnelles, vous deverez mettre en place des procédures internes qui garantissent la protection de ces données en prenant en compte l’ensemble des événements pouvant survenir au cours de la vie d’un traitement des données : faille de sécurité, gestion des demandes de rectification ou d’accès, etc.)..

6 - Documenter la conformité

Afin d'être en mesure de prouver votre conformité au règlement, vous devez constituer et regrouper toute la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.





Questions fréquentes à propos de la RGPD



Si ma structure n'est pas en conformité, je risque quoi ?

Le RGPD prévoit des sanctions extrêmement dissuasives en cas de non-conformité :

  • Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design, Privacy By Default, en matière de PIA, etc. ;
  • Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).

Source : Art. 83 du RGPD

Que va devenir la loi Informatique et Libertés ?

Une nouvelle loi Informatique et Libertés sera nécessaire d'ici mai 2018 pour régler diverses situations :

  • la transposition à venir de la directive européenne dite police justice ;
  • les spécificités nationales permises par le règlement européen en matière de données sensibles (données biométriques, de santé, sur l'origine ou les appartenances politiques, religieuses, la santé et la vie sexuelle), de traitements répondant à des missions d'intérêt public (par exemple pour la protection sociale ou la santé publique) ou encore pour les situations particulières de traitement (numéro de sécurité sociale, relations de travail).

Puis-je encore utiliser le fichier de prospection que j’ai constitué ?

Si vous pouvez démontrer aux autorités que vous avez recueilli les données avec le consentement express des personnes qui s’y trouvent, et ce pour toutes les interactions que vous avez avec eux, alors oui.

Gardez néanmoins en tête que vous devez informer vos prospects sur les usages que vous ferez de ces données. Si vous vendez plusieurs produits et/ou services, et que vous avez le consentement d’une personne suite à une publicité pour un seul des différents produits ou services de votre gamme, vous ne pouvez pas la contacter pour un autre produit ou service sans son consentement…
Cela complique terriblement la prospection. Soyez vigilant !


Comment gérer au quotidien le RGPD en 5 mots ?

Responsabilité : une personne juridiquement responsable dans l'entreprise, le DPO (Data Protection Officer : responsable de la protection des données)
Sécurité : garantir la sécurité des données et informer en moins de 72h l'utilisateur du problème de sécurité
Portabilité : permettre au client de transférer ses données chez un autre prestataire, donc dans un format portable
Traçabilité : définir dès la conception de la donnée son parcours
Unicité : un accord explicite du client de l'utilisation de ses données pour un usage unique et précis, sinon demande d'un nouvel accord explicite. L'accord implicite et l'usage massif de la donnée ne sera plus possible.


Quelles sont les données concernées par le RGPD ?

La traçabilité exigée par le règlement crée des interférences entre les données personnelles et les autres, donc nous sommes obligés d'appliquer le règlement à toutes les données. Vous n'imaginerez pas un seul instant financer deux systèmes d'informations pour gérer votre entreprise. Cet acte juridique n'est pas un acte isolé, il impacte quotidiennement le fonctionnement de votre entreprise. Il fait concevoir le règlement comme une méthodologie pour la transition numérique et la transformation digitale de votre entreprise. Le règlement doit donc être conçu comme un investissement stratégique à long terme.


Que dois-je faire pour être en conformité ?

Pour être en conformité, votre organisation doit commencer par cartographier l’ensemble des traitements, physiques ou technologiques, qui impliquent des données personnelles ou qui sont susceptibles d’établir l'identification d’une personne unique. Ensuite, une étude d’impact sur la vie privée doit ensuite être menée pour les traitements dits à risque. Enfin, il convient de mettre en place un protocole qui permet d'indiquer les failles de sécurité à la CNIL et, le cas échéant, aux personnes concernées, dès qu’une suspicion d’intrusion ou de fuite est détectée.
L’ensemble de ces activités fait partie des prérogatives attribuées à votre délégué à la protection des données. Si cette fonction n’existe pas encore dans votre organisation, elle doit être créée au plus tôt.


Le RGPD impose-t-il des technologies spécifiques ?

Alors que le RGPD définit un ensemble spécifique de normes et d'exigences dans ses textes, ce nouveau réglement ne précise en revanche aucune technologie, aucun processus et aucun système en particulier. Chaque entité est donc tout à fait libre de retenir et d'utiliser les mesures techniques et organisationnelles qu'elle souhaite mettre en place pour se mettre en conformité avec le règlement.


Le RGPD s'applique-t-il à toutes les organisations ?

La mise en place d’un registre des traitements des données est obligatoire pour les sociétés de plus de 250 employés. Cependant, le RGPD s’applique également aux organisations qui sont en-deçà de ce seuil dès lors que le traitement qu’elles effectuent peut comporter un risque pour les droits et les libertés des personnes concernées, qu’il n’est pas occasionnel ou qu’il porte sur des catégories particulières de données personnelles.


Quelles sont sanctions en cas de non-respect du RGPD ?

Toute entreprise refusant de se conformer à cette nouvelle réglementation sera sanctionnée avec plusieurs niveaux de sanctions:

  • la première sanction sera un avertissement,
  • la deuxième sanction sera la mise en demeure de l’entreprise, après l’avertissement
  • la troisième sanction sera la suspension des données hors UE
  • pour les cas les plus graves, des amendes allant de 750€ par infractions constatées allant jusqu’à 4 % du chiffre d’affaires mondial pourront être appliquées (plus grande des 2 valeurs)

Autre exemple : une entreprise pourrait se faire sanctionner si elle vous refuse l’accès à leur service si vous n’acceptez pas de donner accès à votre carnet d’adresse. Si ces informations ne sont pas primordiales pour l’application et que vous ne pouvez cependant pas y accéder, l’entreprise pourra être sanctionnée.



Notre équipe d'experts

Frédéric Belanger

Auditeur, consultant, formateur en prévention des risques pour les systèmes de management de la qualité, de la prévention des risques, la santé, la sécurité, de l'environnement et des données.

Vincent Barberot

Vincent Barberot a construit son parcours professionnel autour de l’international, de la R&D, du commercial, de l’informatique et de la finance. Il est délégué économique d’accueil de la CCIFCQ.

Nicolas Prieur

Nicolas chez A2 Clic Informatique Lhommois. Assistance, conseils et cours d'informatique sont mes principales activités. Je suis à votre écoute pour améliorer l’utilisation de vos ordinateurs.

Karl Bommé

Consultant en développement commercial, Manager dans l’âme, mon ambition est de faire de toutes les contraintes un avantage commercial pour les PME. Je vois le RGPD comme une chance. Et vous ?.

Jean-Yves Turmel

Consultant auditeur et formateur QSE, auditeur certifié IRCA avec une expérience managériale dans l'industrie chimique, Jean-Yves est aussi expert des risques chimiques.

Daniel Dubois

Webmaster freelance spécialisé sur Joomla depuis plus de 10 ans, Daniel défend la veuve et l'orphelin du web en créant des sites respectueux du W3C tout en murmurant aux oreilles de Google.

Témoignages

Nous contacter