À partir du 25 mai 2018, toutes les entreprises devront être en conformité avec le règlement européen sur la protection des données personnelles (RGPD) sous peine de sanctions.
La nouvelle législation vise à établir des règles claires et unifiées pour que les individus puissent mieux contrôler les données qui les concernent. Les obligations visent toutes les entreprises, quelle que soit leur taille, à partir du moment où elles collectent, traitent, gèrent et utilisent des données à caractère personnel, que ce soit des fichiers collaborateurs en interne ou des données sur leurs clients ou fournisseurs.
Des données concernées
Les données considérées comme personnelles sot nombreuses : nom, adresse, localisation, identifiant, date de naissance, adresse informatique IP…, autrement dit toutes les données qui permettent d’identifier une personne. Même si les données ne sont pas utilisées et traitées, à partir du moment où elles sont stockées au sein de l’entreprise, elles sont concernées par l règlementation.
Ce qu’il faut faire
La CNIL préconise une mise en application de la règlementation à travers plusieurs étapes.
- Pour mettre en place un gouvernante des données personnelles, les entreprises doivent commencer par nommer un référent qui pilotera la mise en place des process et des outils. En tant que porteur de projet, il exercera une mission d’information, de conseil et de contrôle interne.
- Il importe dans un second temps de cartographier toutes les données personnelles et sensibles de l’entreprise. Cette étape doit permettre de réaliser un état des lieux pour définir dans quels types de fichiers les données sont utilisées et comment elles sont gérées : qui (traite les données) ? ; quoi (quelles dont les données de la collecte) ? ; pourquoi (la finalité de la collecte) ? ; où (le stockage des données) ? ; jusqu’à quand et comment (les mesures de sécurité) ?
- L’étape suivante consiste à passer au crible ses obligations et définir les procédures internes pour s’assurer être en conformité avec la loi. Dans ce cadre il s’agira d’évaluer les risques en matière de droits et libertés des personnes concernées. De même, l’entreprise devra mettre en place les procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des évènements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).
- Enfin, pour prouver sa conformité au règlement, l’entreprise devra constituer et regrouper la documentation nécessaire. Les actions et documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Des sanctions graduées et renforcées
En cas de méconnaissance des dispositions du règlement, les autorités de protection peuvent notamment : prononcer un avertissement ; mettre en demeure l’entreprise ; limiter toperairement ou définitivement un traitement ; suspendre les flux de données ; ordonnes de satisfaire aux demandes d’exercice des droits des personnes ; ordonnes la rectification, la limitation ou l’effacement des données.
Les sanctions peuvent aller jusqu’à des amendes administratives, de 2% jusqu’à 4% du chiffre d’affaires annuel.