Notre univers
Règlement Général sur la Protection des Données, qu'est-ce que c'est ?
Le RGPD, en quelques mots
La date à retenir : le 25 mai 2018. C'est à cette date que le Règlement Général sur la Protection des Données plus communément appelé RGPD, entrera en application.
Qui est concerné ? A peu près tout le monde. Tous les professionnels et autres structures y sont soumis. Le but de ce règlement européen est de renforcer la protection des données personnelles des résidents de l'UE.Son intention est donc bienveillante, même s'il peut sembler contraignant à mettre en œuvre.
Tous concernés
Toutes les entreprises européennes qui traitent des données personnelles sont donc soumises au RGPD, ce qui revient à dire presque toutes. En effet, une donnée personnelle au sens du RGPD est "toute information, identifiant directement ou indirectement une personne physique" et un traitement de données à caractère personnel, "toute opération ou ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, conservation, adaptation, utilisation etc.". Vous devenez donc Responsable de traitement selon ce même règlement dès lors que vous stockez des informations sur vos salariés par exemple.
Comment se mettre en conformité ?
Un responsable de traitement doit se conformer aux exigences du RGPD. Pour cela, il est conseillé de procéder par étapes.
Étape 1 : Désigner un pilote
Vous devrez choisir une personne qui sera responsable de la mise en conformité et devra (selon ses capacités) :
- s’informer sur le règlement et sensibiliser les acteurs.
- prendre des mesures de mises en conformité.
- documenter la conformité et mettre à jour.
- veiller au maintien et au respect des mesures prises
Étape 2 : Répertorier les traitements
Chaque traitement réalisé par l’entreprise doit être identifié, décortiqué et répertorié dans un document interne. Pour composer ce registre, il faudra au préalable avoir identifié les types de traitement réalisés et de données traitées. En effet, certains types de traitement ou de données sont susceptibles de faire l’objet de mesures particulières (principalement les traitements à grande échelle et les données sensibles).
NB : il ne s’agit pas seulement des données personnelles stockées ou traitées informatiquement, mais aussi des dossiers papier que vous pourriez avoir archivés. Tous les supports sont à répertorier.
Étape 3 : Rédaction du registre des traitements
Pour rédiger votre registre, voici les éléments de réponse à y apporter :
- Qui gère le traitement ?
- Quelles sont les données traitées ? Attention : s’il s’agit de données sensibles, il vous faudra faire une analyse approfondie appelée PIA.
- Quelles sont les finalités poursuivies par le traitement ?
- Où sont stockées les données ?
- Pendant combien de temps conservez-vous ces données ?
- Quelles mesures de protection sont mises en œuvre pour protéger ses données ?
Étape 4 : Mise en œuvre des mesures de conformité
Suite à votre analyse des traitements que vous effectuez, il vous faudra probablement prendre des mesures fonctionnelles et organisationnelles, et mettre à jour vos conditions pour vous conformer aux exigences du RGPD (CGV, contrats de sous-traitance…).
- Exemples de mesures fonctionnelles : cryptage des données, anonymisation, limitation des durées de conservation de données, authentification par mot de passe, gestion des accès, sécurisation des flux…
- Exemples de mesures organisationnelles : formation et sensibilisation des personnes, procédures, verrouillage des armoires d’archives…
Quel est le rôle d’Evode là-dedans ?
Evode est responsable de traitement pour ses propres données collectées mais elle est également désignée comme « Sous-traitant » par le RGPD dès lors que vous nous confiez le traitement de données personnelles.
Comme beaucoup, nous allons renforcer nos procédures et mettre à jour nos conditions afin de vous garantir la sécurisation des données confiées et que vous puissiez attester, en cas de contrôle, de votre conformité au règlement.
Le RGPD impose également un devoir de conseil et d’assistance de la part des sous-traitant, ce que chez Evode nous faisons depuis toujours, cela fait partie de nos valeurs fondamentales.
En conclusion
Le Règlement Général européen sur la Protection des Données est une réelle opportunité commerciale qui permet de renforcer la confiance de vos clients.
C’est aussi l’occasion de faire du tri dans vos données, de vous focaliser sur celles qui ont une utilité prouvée et d’augmenter la sécurité qui les entourent. Une occasion également de revoir vos procédures internes et (re)sensibiliser le personnel aux bonnes pratiques en matière de sécurité informatique.
En tant que personne, n’aimeriez-vous pas que vos informations personnelles soient bien traitées et protégées des violations et utilisation frauduleuses ?
Enfin, pour vous accompagner dans la mise en conformité de votre entreprise, la CNIL a mis à disposition plusieurs guides et fiches pratiques très utiles et notamment le Guide pratique de sensibilisation au RGDP pour les PME
Que l’on se rassure toutefois, le contrôle de la CNIL et les sanctions qui en découlent arriveront progressivement et cibleront en premier les entreprises les plus impactées…