04 90 99 08 08 Contactez nous

Règlement Général de Protection des Données | Nouvelles obligations pour les entreprises : serez-vous prêt en mai 2018 ?

Le 25 mai 2018, toutes les entreprises collectant, exploitant ou stockant des Données à Caractère Personnel (DCP) devront respecter le Règlement Général sur la Protection des Données. A ce jour, 99% des entreprises sont concernées par le RGPD.

Le compte à rebours a commencé, mais il n’est pas encore trop tard !

Qu’est-ce que le RGPD ?

Le 25 mai 2018, le règlement européen sera applicable et viendra remplacer la loi Informatique et libertés. Ce nouveau règlement permet de renforcer les droits des citoyens européens et leur donner plus de contrôle sur leurs données personnelles. Il simplifie les formalités pour les entreprises et leur offre un cadre juridique unifié. En France, sa mise en œuvre est placée sous l’autorité de la CNIL.

Une donnée personnelle est une donnée liée à une personne physique, et qui la caractérise. Il s’agit donc classiquement du nom, prénom, adresse, adresse email, mais aussi la date de naissance, l’adresse IP… En somme, toute information permettant d’identifier une personne physique directement ou indirectement.

RGPD: êtes-vous en conformité ?

Les étapes à suivre pour l’être:

– Etape 1 : Désigner un pilote au sein de votre entreprise : le DPO > En savoir plus

– Etape 2 : Cartographier les traitements de données à caractère personnel et tenir un registre des traitements > En savoir plus

– Etape 3 : Prioriser les actions basées sur le registre des traitements  > En savoir plus

– Etape 4 : Gérer les risques en menant une « EIVP » : étude d’impact sur la vie privée > En savoir plus

– Etape 5 : Organiser les processus internes en intégrant le RGPD dans tous les processus en place > En savoir plus

– Etape 6 : Documenter la conformité > En savoir plus

Ce qui va changer au niveau « humain »

Cette réglementation a pour objectif de renforcer la protection des consommateurs, leurs données ne seront que « prêtées » aux entreprises. Ainsi, ils resteront les uniques propriétaires de ces dernières pouvant exercer tous les droits dessus.

  • Droit au Consentement : autorisation explicite
  • Respect de la vie privée : étude d’impact pour les risques élevés sur la vie privée
  • Transparence : droit de savoir à quoi servent ses données
  • Profilage : droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé
  • Possibilité de désabonnement : désabonnement possible à tout moment
  • Droit à l’oubli : Possibilité de réclamer la suppression de ses données
  • Contact inactif : tous contacts inactifs depuis plus de 3 ans doit être retirés des traitements
  • Droit à la portabilité : Possibilité d’exporter directement ses données.

Cette réglementation implique donc une forte réactivité des services de l’entreprise, depuis son DPO jusqu’aux services techniques s’il s’agit de supprimer ou de porter une donnée.

Quels risques pour l’entreprise en cas de non-respect du règlement ?

  • Une sanction en cas de manquement simple peut aller jusqu’à 2% du CA de l’entreprise (dans le cas d’une entreprise faisant partie d’un groupe international, il s’agit de 2% du CA du groupe) ou jusqu’à 10M d’euros.
  • En cas de faute grave, la sanction est doublée. Dans tous les cas, le montant le plus élevé est retenu.

Au-delà du préjudice financier, les répercussions seront les plus fortes au niveau de l’image de l’entreprise fautive. Car l’objectif de ce règlement n’est pas de punir la fuite de données, mais de prévenir les comportements à risque des entreprises peu regardantes des données personnelles.