Le RGPD concerne tous les organismes traitant des données à caractère personnel basés sur le sol européen ainsi que ceux traitant avec des fournisseurs et/ou clients européens. Ces organismes, quelle que soit leur taille ou activité, doivent maintenant se conformer à de nouvelles exigences en terme de protection des données personnelles des internautes. Voici un récapitulatif de certaines étapes clés à respecter.
Depuis l’entrée en vigueur du RGPD, les entreprises sont désormais tenues d’assurer la protection des données personnelles collectées. Elles doivent ainsi respecter six étapes essentielles :
Le DPO, Data Protection Officer, ou DPD pour Délégué à la Protection des Données, est désormais obligatoire. Son rôle est primordial puisqu’en tant que véritable chef d’orchestre de la protection des données, il doit s’assurer du respect du RGPD au sein de l’organisme qui l’a désigné et d’intermédiaire avec les autorités de contrôle. C’est également lui qui est en charge de réaliser l’inventaire des traitements de données effectués par l’organisme pour lequel il a été désigné. Les entreprises doivent s’assurer que le DPO possède bien les moyens humains et financiers nécessaires à la réalisation de ses missions.
Une autre étape fondamentale dans la mise en conformité avec le RGPD, concerne le recensement précis des différents traitements de données personnelles entrepris par une entreprise, dans le but de constituer un registre consultable à tout moment. Cette documentation interne doit rassembler différentes informations, notamment :
A noter que le caractère des données personnelles considérées comme étant à risque doit être impérativement relevé, ainsi que leur temps de conservation. Pour rappel, sont considérées notamment comme sensibles les informations portant sur l’origine, la religion, les opinions politiques, la santé, etc.
Après avoir réalisé une cartographie précise des données personnelles collectées et traitées, les entreprises devant se mettre en conformité avec le RGPD doivent identifier les actions à mener en priorité. Pour ce faire, elles doivent notamment s’assurer de plusieurs points :
Afin de déterminer si vos traitements de données personnelles comportent des risques de porter atteinte aux droits et libertés des personnes concernées, il est conseillé d’établir une analyse d’impact (DPIA, Data Protection Impact Assessment). Le but ? S’assurer avant le traitement de la donnée de la nécessité et de la proportionnalité des opérations de traitement au regard de sa finalité afin que le traitement soit conforme aux exigences du RGPD.
La collecte des données doit être en permanence sécurisée. Il est donc primordial de faire en sorte que la sécurité de chaque traitement soit au cœur du fonctionnement interne de la société ou de l’organisme. De cette manière, l’ensemble des équipes et collaborateurs doivent être formés afin de pouvoir répondre aux réclamations des utilisateurs concernant leurs droits d’accès et ou rectification de données personnelles.
Ainsi, en cas de fuite de données personnelles, les entreprises et leurs collaborateurs doivent savoir comment réagir, en prévenant l’autorité de contrôle (CNIL) ainsi que les personnes concernées, dans les 72 heures suivant l’incident.
L’une des dernières étapes indispensables à réaliser pour se mettre en conformité avec le RGPD consiste à tenir une documentation actualisée de manière régulière. Le but étant de pouvoir prouver à tout moment que les processus de collecte et traitement de données sont conformes aux exigences du RGPD.
La documentation devra notamment inclure les éléments suivants :
Le RGPD peut coûter particulièrement cher aux entreprises en cas de non-respect de ce dernier. La CNIL, autorité en charge de veiller à l’application du Règlement Général pour la Protection des Données en France, peut ainsi appliquer des sanctions importantes aux entreprises en cas de violation du texte. Ces sanctions, dont le rôle est avant tout dissuasif, peuvent atteindre des montants particulièrement élevés 4 % du CA d’une société ou bien une amende de 20 millions d’euros.
