RGPD: Votre rentreprise est responsable de la protection des données personnelles
La RGPD, Reglementation Générale pour la Protection des Données - ou General Data Protection Regulation (GDPR) en anglais – est une nouvelle loi européenne qui va se substituer en France à l’actuelle loi de la CNIL sur la protection des données . La nouvelle loi est plus contraignante et va plus loin.
La RGDP inverse le paradigme: L’entreprise qui enregistre des données personnelles doit avoir établi en amont les outils informatiques, methodologies, et processus opérationnels adéquates pour être en conformité avec la réglementation sur la protection de la vie privée, de la collecte, au stockage, traitement et destruction .
Privacy by design, Privacy bu default, Accountability
- La collecte des données personnelles privées ou professionnelles, (dont email personnel, non, code postal, âge, ..et bien sûr toute données administratives ou bancaires ) requiert le consentement préalable, explicite, avisé, et pour une utilisation déterminée.
- le stockage doit être sécurisé. Les outils et processus que vous mettez en œuvre pour stocker et traiter les données personnelles doivent être « secure by design » ,c’est à dire conçus en intégrant la sécurisation des données.
- un droit ( et modalités ) d’accès doit permettre aux consommateur de modifier et récupérer et supprimer – Droit à l’Oubli - les informations sur leur personne
- les données numériques doivent être portables
- Votre entreprise est responsable et doit être capable de démontrer sa conformité :
En particulier, vous devez assigner une personne à un rôle de DPO ( chargé de la Protection des Données ) qui devra entre autre tenir un registre des traitements ( client, prospects, contacts) et documenter les utilisations des données.
Les amendes qu’encoure l’entreprise pour non respect de la loi RGPD dont beaucoup plus dissuasives qu’avec la CNIL, puisqu’elles peuvent s’élever jusqu’à 4% du CA mondial.
Date d’entrée en vigueur de la RGPD : 25 Mai 2018
Pas de panique, pour bien s’y préparer, le mieux est d’assigner dans votre entreprise un chef de projet RGPD afin de s’assurer que tous vos processus marketing et gestion de la base clients sont en conformité avant le 25 mai 2018
Comment rendre votre entreprise RGPD compatible ?
>>> Feuille de route pour la mise en conformité RGPD de votre entreprise
La mise en conformité RGPD en 4 étapes
Données ordinaires / Données sensibles.
Données internes ( Resources humaines) /données externes( fournisseurs ,clients) .
Cela nécessite d’impliquer tous les salariés et départements de l’entreprise.
o Quelle est la nature des données ?
o Traintement et stockage, archivage, periode d’éffacement
o Qui a accès et manipule ses données
o Quelle est la finalité de ces données. Sont-elles transférées dans ds états tiers hors Union Européenne
o Quelles sont les mesures opérationnelles et techniques de sécurisation des données.
Pour les données sensibles, faire une analyse d’impacte.
o Restreindre les données au strict nécessaire
o Corriger les procédures et technologies de collecte, stockage et manipulation des données. En particulier les données personnelles doivent à partir du 25 Mai 2018 être accessibles par la personne concernée la ces données et être portables.
o Avoir un plan de contigence en cas de faille dans la sécurité des données .
o Nommer un DPO en charge de s’assurer de la conformité RGDP de l’entreprise.
o Définir tous les processsus de collecte, manipulation, accès , archivage et suppréssion de données
o Définir les rôles et niveaux d’accès du personnel de l’entreprise
o Rédiger les processus
o Faire éventuellement valider leur conformité par un organisme de certification ( une certification AFNOR est en cours de mise au point) ou par un juriste/avocat d’affaire.
o Procéder à toutes les modifications nécessaires au niveau logiciel, gestion du reseau informatique, etc…
o Testez et validez les nouveaux outils et procédures.
o Former l’ensemble du personnel à la RGDP et aux nouveaux processus définis dans le nouveau programme de gouvernance des données.