A l’occasion de la journée européenne de la protection des données ce vendredi 28 janvier, Groupe INTERACTIONS fait le point sur les mesures RGPD en entreprise. Comment vous aider au mieux dans vos démarches ?
Et si on commençait par une définition du RGPD ?
Le Règlement Général sur la Protection des Données (RGPD) est le texte de référence en matière de protection des données à caractère personnel. Il est applicable dans l’ensemble des entreprises des 27 Etats membres depuis le 25 mai 2018, mais également des entreprises hors Union Européenne ciblant sur le territoire européen.
Les principaux objectifs du RGPD sont de garantir un maximum la protection des données à caractère personnel des utilisateurs ainsi que d’accroitre la responsabilisation des entreprises vis-à-vis du traitement de ces mêmes données.
De surcroît, l’Union Européenne a défini de nouvelles dispositions pour :
- Définir un cadre juridique adapté à l’ère numérique ;
- Encadrer les pratiques de traitement des données à caractère personnel ;
- Garantir un niveau de sécurité suffisant de ces données ;
- Rendre aux citoyens le contrôle de leurs données personnelles.
Comment l’appliquer concrètement en entreprise ?
« Constitue une Donnée à Caractère Personnel (DCP), toute information relative à une personne physique identifiée ou pouvant être identifiée ». Parmi les plus évidentes : Nom, prénom, numéro de téléphone, adresse, email, date de naissance ; ou plus abstraite comme religion, données génétiques, orientation sexuelle, numéro de sécurité sociale, données médicales, etc…
Les obligations des entreprises traitant la donnée à caractère personnel s’articulent en quatre blocs :
- Respecter les droits des personnes (parmi les principaux : droit d’information, d’effacement, droit d’accès ou de modification) ;
- Avoir des pratiques sécurisantes lors de manipulations de données, qu’elles soient au format numérique… ou papier ;
- Faire le tri dans vos données collectées (je ne collecte que les données dont j’ai besoin) et stockées (en définissant un délai de conservation clair et précisé au client, et en appliquant des pratiques adaptées d’archivage / destruction de ces données) ;
- Constituer son registre de traitements.
Pour répondre à ces exigences, il convient donc de mettre en place une démarche de mise en conformité RGPD.
Pour aider les entreprises à se lancer dans cette démarche, la CNIL (Commission National de l’Informatique et des Libertés) a partagé, à titre informatif, une démarche en six étapes pour répondre aux exigences :
Etape 1 : Nommer un délégué à la protection des données (connu sous le nom de DPO : en anglais Data Privacy Officer ; chef d’orchestre de la démarche en interne, avec notamment un rôle d’information, de conseil et de contrôle) ;
Etape 2 : Recenser les traitements des données dans un registre, et comment ils sont mis en œuvre dans l’entreprise.
Etape 3 : Définir les actions correctives (notamment à partir du registre) pour répondre aux exigences de sécurisation des traitements.
Etape 4 : Analyser les risques en termes de protection des données personnelles.
Etape 5 : Etablir des procédures internes.
Etape 6 : Tenir une documentation qui justifie la conformité d’une entreprise au règlement.
Quelles sont les sanctions pour non-respect du RGPD ?
Le Comité Européen de la Protection des Données (CEPD) est en charge de la coordination des actions des autorités de contrôle nationales. En France, c’est la CNIL qui est responsable.
Elle a le pouvoir de mettre en place des moyens dissuasifs en graduant les sanctions. Celles-ci dépendent de la gravité des actions constatées.
Etape 1 : Avertissement ou mise en demeure avec un rappel des règles.
Etape 2 : Injonction ou ordre de cessation immédiate.
Etape 3 : Limitation ou suspension temporaire des traitements de données.
Etape 4 : Sanctions administratives.
Autrement dit, un non-respect du RGPD peut entrainer de lourdes sanctions financières allant jusqu’à 4 % de votre chiffre d’affaires de l’année N-1.
Vous souhaitez mettre en place une démarche de mise en conformité RGPD dans votre entreprise, mais ne savez pas par où commencer ? Groupe INTERACTIONS est là pour vous aider !
Découvrez notre formation « RGPD Express » et devenez le pro en matière de protection des données.