Adopté le 27 avril 2016, le Règlement Européen sur la Protection des Données (RGPD) entre en vigueur le 25 mai 2018. Il ne vous reste plus que 3 mois pour faire évoluer vos pratiques afin de les rendre conformes aux nouvelles exigences européennes, et ainsi éviter les sanctions importantes nouvellement définies (amende maximale correspondant à 4% du chiffre d’affaires réalisé ).
De quoi s’agit-il ?
Le Règlement vise essentiellement à améliorer les droits des personnes dont les données sont collectées. Pour ce faire, il renforce les obligations des entreprises en matière de gestion et de protection des données à caractère personnel dont elles disposent. Les entreprises doivent en particulier recenser les données et identifier les plus sensibles, vérifier que ces données sont protégées efficacement, lister les utilisations qui sont faites de ces données, informer les tiers concernés etc.
Pour rappel, les données à caractère personnel regroupent toutes les données qui permettent d’identifier une personne physique (nom, adresse, adresse IP, identification carte SIM, données de localisation). Une vigilance accrue est requise pour les données dites « particulières » (exemple : origines raciales, ethniques, opinions politiques, religieuses, donnés génétiques, biométriques etc.).
Etes-vous concerné ?
- Ce texte concerne toutes les entités européennes ou étrangères dès lors qu’elles traitent les données personnelles de citoyens européens.
- Les données personnelles sont celles liées notamment : aux salariés, aux fichiers clients, aux procédures d’identification des bénéficiaires effectifs dans la lutte anti-blanchiment / anti-corruption, aux fichiers de cartes de fidélité, aux registres des actionnaires, …
Comment s’y préparer ?
En fonction de votre taille et de votre organisation, des chantiers plus ou moins lourds doivent être mis en œuvre pour répondre de manière adaptée aux obligations du Règlement. Nous vous recommandons de mettre en œuvre l’approche suivante pour structurer votre démarche de mise en conformité :
1- Identifier les données personnelles pour chaque catégorie de tiers concernés et lister les utilisations qui en sont faites :
- La tenue d’un « registre des traitements » mis en œuvre dans l’entreprise est une des clés de voûte du Règlement. Vous devrez être en capacité d’identifier avec précision les types de données à caractère personnel dont vous disposez et savoir où celles-ci sont stockées et transférées.
- Doivent être listés pour chaque traitement de données personnelles : la finalité du traitement (les objectifs poursuivis) ; la nature des données traitées ; les acteurs internes et externes qui traitent ces données ; la localisation de ces données ; les flux amont et aval (l’origine et la destination) ; les temps de conservation ; le volume.
2- Analyser les risques liés aux traitements mis en œuvre, recenser et évaluer les mesures de sécurité mises en place pour protéger notamment la confidentialité et la qualité des données.
3- Ajuster en conséquence vos processus internes
Qui solliciter ?
Ellipce peut vous accompagner pour votre mise en conformité. N’hésitez pas à vous rapprocher de vos interlocuteurs habituels.
Pour en savoir plus sur le RGPD, consultez le guide de la CNIL : https://www.cnil.fr/fr/un-nouveau-guide-de-la-securite-des-donnees-personnelles