heading blog

Notre univers

Règlement Général sur la Protection des Données, qu'est-ce que c'est ?

rgpd

Le RGPD, en quelques mots

La date à retenir : le 25 mai 2018. C'est à cette date que le Règlement Général sur la Protection des Données plus communément appelé RGPD, entrera en application.

Qui est concerné ? A peu près tout le monde. Tous les professionnels et autres structures y sont soumis. Le but de ce règlement européen est de renforcer la protection des données personnelles des résidents de l'UE.Son intention est donc bienveillante, même s'il peut sembler contraignant à mettre en œuvre.

Tous concernés

Toutes les entreprises européennes qui traitent des données personnelles sont donc soumises au RGPD, ce qui revient à dire presque toutes. En effet, une donnée personnelle au sens du RGPD est "toute information, identifiant directement ou indirectement une personne physique" et un traitement de données à caractère personnel, "toute opération ou ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, conservation, adaptation, utilisation etc.". Vous devenez donc Responsable de traitement selon ce même règlement dès lors que vous stockez des informations sur vos salariés par exemple.

Comment se mettre en conformité ?

Un responsable de traitement doit se conformer aux exigences du RGPD. Pour cela, il est conseillé de procéder par étapes.

Étape 1 : Désigner un pilote

Vous devrez choisir une personne qui sera responsable de la mise en conformité et devra (selon ses capacités) :

  • s’informer sur le règlement et sensibiliser les acteurs.
  • prendre des mesures de mises en conformité.
  • documenter la conformité et mettre à jour.
  • veiller au maintien et au respect des mesures prises
Capture5
Capture3

Étape 2 : Répertorier les traitements

Chaque traitement réalisé par l’entreprise doit être identifié, décortiqué et répertorié dans un document interne. Pour composer ce registre, il faudra au préalable avoir identifié les types de traitement réalisés et de données traitées. En effet, certains types de traitement ou de données sont susceptibles de faire l’objet de mesures particulières (principalement les traitements à grande échelle et les données sensibles).

NB : il ne s’agit pas seulement des données personnelles stockées ou traitées informatiquement, mais aussi des dossiers papier que vous pourriez avoir archivés. Tous les supports sont à répertorier.

Étape 3 : Rédaction du registre des traitements

Pour rédiger votre registre, voici les éléments de réponse à y apporter :

  • Qui gère le traitement ?
  • Quelles sont les données traitées ? Attention : s’il s’agit de données sensibles, il vous faudra faire une analyse approfondie appelée PIA.
  • Quelles sont les finalités poursuivies par le traitement ?
  • Où sont stockées les données ?
  • Pendant combien de temps conservez-vous ces données ?
  • Quelles mesures de protection sont mises en œuvre pour protéger ses données ?
Capture4
Capture6

​Étape 4 : Mise en œuvre des mesures de conformité

Suite à votre analyse des traitements que vous effectuez, il vous faudra probablement prendre des mesures fonctionnelles et organisationnelles, et mettre à jour vos conditions pour vous conformer aux exigences du RGPD (CGV, contrats de sous-traitance…).

  • Exemples de mesures fonctionnelles : cryptage des données, anonymisation, limitation des durées de conservation de données, authentification par mot de passe, gestion des accès, sécurisation des flux…
  • Exemples de mesures organisationnelles : formation et sensibilisation des personnes, procédures, verrouillage des armoires d’archives…

Quel est le rôle d’Evode là-dedans ?

Evode est responsable de traitement pour ses propres données collectées mais elle est également désignée comme « Sous-traitant » par le RGPD dès lors que vous nous confiez le traitement de données personnelles.

Comme beaucoup, nous allons renforcer nos procédures et mettre à jour nos conditions afin de vous garantir la sécurisation des données confiées et que vous puissiez attester, en cas de contrôle, de votre conformité au règlement.

Le RGPD impose également un devoir de conseil et d’assistance de la part des sous-traitant, ce que chez Evode nous faisons depuis toujours, cela fait partie de nos valeurs fondamentales.

En conclusion

Le Règlement Général européen sur la Protection des Données est une réelle opportunité commerciale qui permet de renforcer la confiance de vos clients.

C’est aussi l’occasion de faire du tri dans vos données, de vous focaliser sur celles qui ont une utilité prouvée et d’augmenter la sécurité qui les entourent. Une occasion également de revoir vos procédures internes et (re)sensibiliser le personnel aux bonnes pratiques en matière de sécurité informatique.

En tant que personne, n’aimeriez-vous pas que vos informations personnelles soient bien traitées et protégées des violations et utilisation frauduleuses ?

Enfin, pour vous accompagner dans la mise en conformité de votre entreprise, la CNIL a mis à disposition plusieurs guides et fiches pratiques très utiles et notamment le Guide pratique de sensibilisation au RGDP pour les PME

Que l’on se rassure toutefois, le contrôle de la CNIL et les sanctions qui en découlent arriveront progressivement et cibleront en premier les entreprises les plus impactées…