Etes-vous « RGPD compliant » ?

Derrière cet anglicisme, et à quelques mois de l’entrée en application du règlement général sur la protection des données (RGPD), se cache une véritable question de mise en conformité aux nouvelles règles applicables à partir du 25 mai 2018.

Ce règlement s’appuie sur la loi Informatique et liberté de 1976 et comporte jusqu’à 57 renvois au projet de loi d’adaptation de celle-là – c’est dire combien le RGPD renforce les dispositions que nous connaissons déjà pour la protection des données personnelles de chacun.

aujourd’hui on a un droit puissant. Il ne faut surtout pas le remettre en cause » (…) « grâce au #RGPD, n’est plus un individu face à de grands acteurs mais individu informé qui peut exercer ses droits (accès, portabilité…

Ainsi « aujourd’hui on a un droit puissant. Il ne faut surtout pas le remettre en cause » (…) « grâce au #RGPD, n’est plus un individu face à de grands acteurs mais individu informé qui peut exercer ses droits (accès, portabilité… » comme l’indique Isabelle Falque-Pierrotin, présidente de la CNIL, dans un tweet relayé par la @CNIL.

Bien évidemment, une période d’accompagnement est prévue jusqu’à fin 2018, laissant ainsi aux presque 70% des entreprises non encore en règle, le temps de mettre en place toutes ces mesures.

Mais, qui sont-elles ? Qui est concerné ?

C’est simple : toute entreprise qui traite de la donnée personnelle à des fins professionnelles. Cela va de la collecte de coordonnées comme les noms, prénoms, adresse, mails pour alimenter un fichier de prospect au traitement des payes par un service RH en passant par le service client qui enregistre les pannes dans le cadre d’une hotline par exemple ou encore le service qualité qui traite les réclamations client. Le service comptabilité avec ses factures clients et fournisseurs est bien évidemment aussi concerné.
Qu’entend-on par données personnelles ? Toute information se rapportant à une personne physique identifiée ou identifiable…
Voilà, le cadre est posé : tout le monde est concerné, sauf la récupération de données dans le cadre de l’activité personnelle ou domestique.

Quels sont les grands principes du RGPD ?

Il faut que la récupération des informations personnelles soit assortie du consentement éclairé de la personne. C’est toute la notion de l’OPTIN qui entre ici en jeu.
Pour cela, l’entreprise doit, dans le cadre d’une information légale,

  • préciser à quoi servira la collecte (ex : envoi de newsletter avec indication de fréquence et d’objet comme envoi informatif, à vocation publicitaire, promotionnel etc.)
  • limiter le nombre d’information collectée au strict besoin du but annoncé
  • s’engager à ne se servir des données que dans le but annoncé et non pas pour une autre finalité (notion de finalité)
  • définir une durée de conservation et s’engager au-delà à archiver ou détruire les données
  • assurer de l’intégrité et de la sécurité de conservation des données (prendre les dispositions pour éviter un vol, une perte de fichier…
  • informer sur son site internet toutes les mentions légales se rapportant aux dispositions de la RGPD (action de transparence)
  • assurer la responsabilité des données collectées et s’engager à mettre en œuvre des process pour démontrer le respect de la loi RGPD…

Alors, comment procéder pour la mise en application au sein de sa structure ?

6 points à mettre en place :

  1. Tout d’abord désigner une personne qui animera le RGPD dans l’entreprise :
    Le pilote Data Protection Officer (DPO).Tel le responsable qualité dans le cadre d’une certification ISO, le DPO sera en charge de mettre en place toutes les procédures, déterminer les actions, les mettre en œuvre, les contrôler et les surveiller pour enfin les améliorer dans respect des dispositions du RGPD.

    Il remplace le correspondant CNIL et est obligatoire pour les organismes publics et les entreprises qui traitent des données à grande échelle.

  2. Formaliser à l’aide d’un tableau de bord, le registre des traitements
    Sous la forme d’un tableau excel par exemple, le DPO listera les traitements, les démarches de mise en conformité, les mesures de sauvegarde et d’archivage et les actions correctives.Ce tableau est obligatoire pour les entreprises de plus de 250 salariés.
  3. Montrer qu’on a pensé aux mesures RGPD à mettre en œuvre dès la conception d’une action (notion de Privacy by design – ex : prévoir dans le cahier des charges pour la conception d’un site internet une purge automatique des données collectées si non utilisées dans un délai imparti).
  4. Et limiter au maximum la récolte des données au strict nécessaire pour la finalité de la collecte (notion de Privacy by default – ex : en supprimant les coches par défaut sur les inscriptions aux newsletters)
  5. Assurer le droit des personnes en l’informant par exemple sur
    1. l’identité et coordonnées du responsable du traitement
    2. les destinataires de ses données personnelles
    3. les types d’informations collectés
    4. la durée de conservation
    5. les finalités et base juridique du traitement,
    6. ses droits d’accès, de modification, rectification, suppression (droit à l’effacement et à l’oubli) et à la portabilité (récupération de ses données – prévoir la fonctionnalité sur le site internet)
    7. une transmission éventuelle de ses données vers pays tiers…Cette liste est non exhaustive…
  6. Informer en cas de faille de sécurité.

En conclusion, être « RGPD compliant » signifie être en conformité avec l’application du Règlement Général de Protection des Données.

Le COFRAC vous permet d’être certifié mais il vous appartient de vous assurer que vos sous-traitants le soient aussi.

Le RGPD est une contrainte réelle avec son nouveau cadre juridique majeur, commun à toutes les entreprises à mettre en œuvre rapidement, mais il offre surtout une belle opportunité de qualifier et professionnaliser sa base de données, d’en assurer sa sécurité et d’apporter une satisfaction client.

Quelques liens
https://www.cnil.fr/
https://www.cofrac.fr/fr/activites/certification.php

1 réaction sur “ Etes-vous « RGPD compliant » ? ”

  1. Ping D'autres sources sur la RGPD - Règlement Général sur la Protection des Données

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *