RGPD – Règlement Général sur la Protection des Données
Introduction au RGPD
Ce règlement n’est pas une nouveauté en matière de protection des données. En effet, au niveau Européen, il y a eu plusieurs directives, pas obligatoirement applicables par définition, ce règlement européen est donc le premier texte relatif à la protection des données qui soit obligatoirement applicable par ses pays membres. Cependant en France, depuis 1978 et la loi Informatique et Libertés, plusieurs textes se sont succédés avant le RGPD.
La réponse au RGPD est bien plus que technologique, il ne suffit pas d’acheter une solution « conforme RGPD » ou « GDPR compliant ». La mise en conformité de votre entreprise demande une revue de l’ensemble de vos process et de votre organisation.
La démarche de mise en conformité RGPD repose sur 4 volets :

JURIDIQUE

PROCESS

ORGANISATIONNEL

TECHNOLOGIQUE
LES 6 ÉTAPES DÉFINIES PAR LA CNIL POUR RÉALISER VOTRE MISE EN CONFORMITÉ RGPD
Cartographier vos traitements de données personnelles Avant de mettre en place des actions de mise en conformité, vous devez au préalable réaliser un état des lieux de vos process. Pour cela, vous devez documenter vos traitements de données personnelles, les catégories de données personnelles traitées, les objectifs de chaque traitement, les acteurs (internes ou externes) qui participent à ces traitements, et les flux des données afin d’en donner l’origine et la localisation (UE / hors UE).
Organiser les processus internes Tout d’abord, il est nécessaire d’initier une réflexion autour de la protection des données, dès le début d’un projet, on parle de « Privacy by design« . Pour cela, il faut sensibiliser vos collaborateurs aux process que vous avez établis précédemment. Il faut également être en mesure de traiter les modalités d’exécution des droits des personnes, comme les droits d’accès, de rectification ou encore de suppression par exemple. Dernier point, être en mesure d’anticiper d’éventuelles violations de données.

Qu’est-ce qu’une donnée personnelle ?
Sont considérées comme données personnelles, les informations se rapportant à une personne physique vivante identifiée ou identifiable, dont le regroupement permet d’identifier cette personne en particulier, directement ou indirectement.
Il y a 7 catégories de données personnelles :
- Les données relatives à l’identité (nom, prénom, adresse, photo, date et lieu de naissance, etc.)
- Les données relatives à la vie personnelle (habitudes de vie, de consommation, loisirs, situation familiale, etc.)
- Les données relatives à la vie professionnelle (CV, diplômes, formation, fonction, lieu de travail, etc.)
- Les informations économiques (revenus, impôts, données bancaires, droits sociaux, situation financière, etc.)
- Les données de localisation (coordonnées GPS, géolocalisation véhicule ou téléphone, badges bâtiments, télépéages, etc.)
- Les données judiciaires (casier judiciaire)
- Les données sensibles relatives à la santé (médical, biomédical, handicap), l’orientation religieuse, l’opinion politique, etc.
Le DPO – Data Protection Officer ou le DPD – Délégué à la Protection des Données
Le DPO ou DPD en français pour Délégué à la Protection des Données, a pour missions d’informer et de conseiller les collaborateurs, mais aussi et surtout de valider la conformité des traitements et d’exercer un contrôle continu. En effet, le DPO est le garant de la tenue à jour du registre des traitements ainsi que du respect de la conformité des pratiques de l’entreprise vis-à-vis des données personnelles. Le DPO est l’évolution du Correspondant Informatique et Libertés (CIL).
Le DPO est-il obligatoire ?
Il faut savoir que le recours à un DPO n’est pas systématique. Cependant il est obligatoire dans 3 cas :
- Les établissements publics
- Les organisations dont l’activité principale est le traitement de données en masse
- Les organisations dont l’activité principale traite des données sensibles
Contrairement à certaines idées reçues, le recours à un DPO n’est pas obligatoire pour les entreprises de 250+ collaborateurs (sauf pour celles qui font partie d’au moins une des 3 catégories ci-dessus) mais il est tout de même fortement conseillé, en fonction de votre secteur d’activité.
Le DPO doit-il être interne ou externe ?
Qu’il soit obligatoire ou non, le Data Protection Officer peut aussi bien être un collaborateur de l’entreprise qu’un prestataire externe. Dans le cas où votre DPO est interne, vous devez vous assurer qu’il soit pleinement conscient de ses droits et devoirs. En effet en tant que responsable du traitement des données personnelles, il doit être en mesure de dénoncer sa hiérarchie en cas de non respect de la conformité.


Quelles sanctions pour les entreprises non conformes ?
En France, l’organisme en charge de contrôler la conformité des entreprises est la CNIL. Et les sanctions en cas de non-respect du RGPD sont assez élevées :
- Jusqu’à 10M€ ou 2% du CA mondial pour des infractions relatives
- Jusqu’à 20M€ ou 4% du CA mondial pour des infractions graves
Cependant, nous avons constaté qu’au delà du risque pécuniaire, vous risquez davantage commercialement ! En effet, si vous ne pouvez répondre favorablement à la demande de votre prospect, il deviendra client de votre concurrent.
Plus d’informations ici