Définition du RGPD ou GDRP
Le RGPD (Règlement général sur la protection des données) se traduit par GDPR (General Data Protection Regulation). Le 25 mai 2018, ce nouveau règlement européen entre en vigueur, il est applicable à toutes les entreprises, quelle que soit leur taille ou leur secteur d’activité.
Le but est de donner plus de contrôle aux citoyens européens sur leurs données personnelles. Les entreprises doivent donc maintenant justifier les données collectées sous peine de lourdes sanctions.
C'est quoi une donnée personnelle ?
Une donnée personnelle est une information qui permet d’identifier de manière directe ou indirecte une personne. On retrouve donc ces données partout dan une entreprise !
Quelques exemples :
- Les données commerciales et clients (nom, adresses mail, téléphone, cartes de visite, renseignements personnels, etc.)
- Les données opérationnelles (géo localisation, livraison, etc.)
- Les données RH (les salariés avec des données jugées sensibles comme le No Sécurité Sociale, Bulletin No 3 de casier judiciaire, données de santé)
- Les données technologiques (Identifiant, adresse IP, Données biométrique, vidéosurveillance)
Qui est concerné par le RGPD
Tous les acteurs proposant des services ou des biens ainsi que les sous traitant sont concernés sans exception. A partir du moment où vous traitez des données sur des citoyens de l’Union européenne, vous devez être conforme au RGPD. Les administrations publiques, par exemple l'école, sont aussi touchés par ce règlement. Contrairement aux idées reçues, le RGPD concerne toutes les sociétés, même celles qui n'ont pas d'activité sur Internet.
Les textes officiels du règlement général sur la protection des données
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données : Texte réglementaire 2016/679 disponible sur la CNIL.
De la CNIL au RGPD
La CNIL avant le RGPD
- Obligations déclaratives,
- Risques et contrôles relativement limités.
La CNIL après le RGPD
- Responsabilité de l’entreprise et des sous-traitants,
- Suppression des obligations déclaratives (dans la majorité des cas),
- Nouvelles exigences,
- Nouveaux droits pour les individus,
- Amendes CONSIDERABLEMENT renforcées,
- Accès simplifié et encouragé aux recours contre les entreprises,
- Renforcement du risque juridique.
Que faut-il faire et les questions à se poser
- Dois-je désigner un DPO ?
(Délégué à la Protection des Données)
C’est quoi les conflits d’intérêt ?
- Je ne peux plus faire de mailing à mes clients ou à des prospects ?
- C’est quoi le consentement ?
- Je fais quoi avec mes sous-traitants transporteurs, j’en ai 675 ?...!
- Je ne collecte pas de données sur mon site internet, je suis concerné quand même ?
- C’est quoi un registre des traitements de données personnelles ?
- Une étude d’impact ? C’est obligatoire ? Comment la réaliser ?
- Si je ne suis pas prêt le 25 mai 2018, je risque une amende ?
L'urgence d'une méthodologie
Diagnostic et préparation
- Recensement des données personnelles
- Cartographie des traitements et des acteurs
- Evaluation des risques
- Politique et Management
Mise en conformité
- Planification du projet
- Référentiel documentaire
- Plans d’actions IT, RH, Commercial, Exploitation, Sous-traitance
- Sensibilisation du personnel
Preuve de conformité
- Audit interne, audit externe, certification
- Revue de Direction RGPD
- Communication
|