Le Règlement général sur la protection des données (RGPD) entre en vigueur demain. Voici les 3 conseils de dernière minute pour être fin prêt !
Dernière ligne droite pour le Règlement général sur la protection des données (RGPD) ! A compter du 25 mai 2018, les entreprises devront être en conformité avec les nouvelles règles établies par l'Union européenne pour encadrer l'utilisation des fichiers contenant des données à caractère personnel. Comment être prêt ? Réponse en 3 étapes :
1- Nommez un responsable des données personnelles
Pour orchestrer la mise en conformité de l'entreprise, le RGPD demande la nomination dans chaque entreprise d'un data protection officer (DPO), un responsable de la protection des données. Une bonne nouvelle toutefois pour les agences de voyages et les acteurs du tourisme : les entreprises du secteur n'auront pas besoin de créer un poste à part, comme cela est requis pour les banques et les assurances par exemple.
Mais le RGPD exige malgré tout la nomination d'un "pilote", qui assurera le rôle de data protection officer en plus de ses attributions. A chaque entreprise de déterminer si cette fonction doit revenir au directeur financier ou au directeur informatique. "Ce véritable chef d'orchestre exercera une mission d'information, de conseil et de contrôle en interne", souligne la Cnil.
2- Recensez les procédures de traitement des données
Autre priorité pour que votre entreprise soit en conformité : identifier les fichiers contenant des données à caractère personnel. Votre entreprise doit être en mesure de cartographier tout ce qui concerne l'exploitation de données personnelles, qu'il s'agisse des procédures d'édition des fiches de paie, de la collecte de données via le site Internet ou des inscrits à une newsletter. Les différents traitements de données personnelles doivent alors être répertoriés dans un seul et même registre qui, dans le cas des entreprises françaises, pourra être consulté par la Cnil. Ce registre devra notamment indiquer le but du traitement de données et nommer les personnes qui en sont responsables.
Attention : si l'entreprise n'est pas en mesure de fournir un tel registre, elle est passible d'une amende administrative pouvant s'élever de 10 à 20 millions d'euros ou atteindre jusqu'à 4% de son chiffre d'affaires annuel.
3- Établissez des priorités dans un plan d'actions
Compte tenu de l'importance du chantier de la mise en conformité, il est clair que nombre d'entreprises ne seront pas prêtes pour le 25 mai 2018. La Cnil conseille donc de "prioriser les actions à mener au regard des risques que font peser les traitements sur les droits et les libertés des personnes concernées".
Mais comment définir cette priorité ? Le Règlement général sur la protection des données met plus particulièrement en exergue le traitement de données sensibles : il s'agit des données concernant les origines raciales, l'orientation sexuelle, les opinions politiques, la religion, les données pénales ou encore les informations sur la santé. Le RGPD prévoit que ces données fasse l'objet d'un traitement à part permettant leur cryptage ou leur anonymisation.
Autre exigence à prendre en compte rapidement : les entreprises devront obtenir le consentement des clients dont les données feront l'objet d'un traitement et conserver la preuve de ce consentement. Le RGPD entend également faire appliquer le "droit à l'oubli numérique", qui permettra à toute personne de demander l'effacement des données la concernant. Reste à mettre tout cela en musique !