La réforme de la réglementation en matière de protection de données entrera en vigueur le 25 mai 2018 et sera applicable dès le lendemain. Nommée RGPD ou règlement général sur la protection des données, cette nouvelle directive applicable en France et dans tous les pays membres de l’Union Européenne viendra modifier les obligations actuelles en termes de collecte et de traitement de données.
Dans le même temps, les formalités préalables auprès de la CNIL imposées aux organismes de traitement des données vont être supprimées. La responsabilité de ces derniers sera en revanche renforcée pour compenser cette suppression.
Rappel sur la nouvelle législation RGPD :
Avec l’instauration du Règlement européen sur la protection des données, les formalités requises auprès de la CNIL dont l’obligation de déclaration et l’obtention d’autorisation, ne seront plus d’actualité d’ici un mois. Le RGPD souligne cependant l’obligation pour les entreprises de mettre en place des mesures de renforcement en matière de protection de données tout en restant dans le champ des dispositions du règlement.
Pour Google, par exemple, il propose désormais de supprimer facilement toutes les données leurs données collectées. (source)
La nouvelle réforme doit par ailleurs soutenir les orientations suivantes :
- Renforcement des droits de personnes par l’instauration de nouveaux droits, dont les principaux sont : le droit à l’information et l’accès aux données caractère personnel, le droit de l’effacement selon les motifs mentionnés à l’article 17 du règlement et le doit à la portabilité des données.
- Renforcement des obligations des responsables de traitement, entre autres la protection et la sécurisation des données et la mise en place de mesures garantissant le respect du règlement.
- Révision des prérogatives de la CNIL en termes de sanction afin de pouvoir imposer des sanctions pécuniaires.
À lire : les tarifs d’une prestation de référencement naturel
Comment se préparer au RGPD ?
Tous ces éléments représentent de manière synthétique les grandes lignes du RGPD. Mais concrètement, qu’est-ce qui attend les entreprises ? Comment doivent-elles procéder pour agir en conformité avec ce nouveau projet de loi ? Voici les 6 étapes essentielles pour s’y préparer:
Nommer un DPO (Data Protection Officer)
Le DPO est le correspondant entre la CNIL et les organismes. Il doit veiller à ce que la nouvelle législation soit observée, respectée et appliquée au sein des différentes structures. Dès lors, son rôle s’étend sur tout le processus de mise en œuvre de la loi et se résume donc à informer, sensibiliser, conseiller, superviser les entreprises dans les différentes mesures et actions à engager pour garantir le respect du règlement.
Cartographier les traitements
Il s’agit de classer les différents traitements qui sont dans la visée du règlement. L’intérêt étant de bien repérer chaque processus pour en affecter un niveau de prise en charge adapté et par conséquent, évaluer plus facilement la conformité au regard du Règlement Général sur la Protection des Données.
Tenir un registre des activités de traitement
Il s’agit d’une des obligations majeures prévues par le RGPD. La tenue de ce registre est indispensable car il sert de document de référence pour vérifier la conformité des traitements. Les éléments qu’il renferme incluent dans ce cadre un lot d’informations capitales pouvant démontrer que le processus répond bien aux exigences spécifiées dans le règlement. Ils comprennent entre autres l’identité du responsable du traitement, les catégories d’individus concernés (clients, personnel, partenaires, candidats), l’encadrement des flux de données liées aux transferts hors de l’Union Européenne, l’information aux personnes et la description des mesures de confidentialité et des solutions techniques permettant aux entreprises de mieux protéger les données à caractère personnel.
À lire : le SEO pour booster la croissance de votre business
Conduire une analyse d’impact sur la protection des données
Cette étape est obligatoire pour identifier les traitements présentant un risque élevé pour les droits et libertés des personnes. L’analyse d’impact ou Privacy Impact Assesment doit être amorcée dès lors que le processus est identifié et menée périodiquement pour définir jusqu’à quel degré le risque peut être supporté.
Établir un plan d’action dans le cadre du RGPD
La sécurisation des données sur le long cours implique de traiter au cas par cas ces différentes étapes. Une fois ces dernières examinées et mises en route, il peut être nécessaire de rédiger une charte de bonnes pratiques accompagnant leur mise en œuvre.
Sensibiliser et former les équipes
Le principe est de familiariser les utilisateurs aux usages des technologies informatiques et des systèmes de traitement d’information au sein de l’entreprise afin de lutter contre l’insécurité et réduire les risques y afférents.
La mise en conformité au RGPD exige de prendre en considération tous ces éléments sans aucune exception. L’omission de l’un d’eux peut rendre votre projet moins efficace. Une société spécialiste en sécurité informatique peut vous aider à mieux comprendre les différentes contraintes générées par l’application du nouveau règlement. (Cf. voir responsabilités de l’entreprise sur la collecte de données)