Depuis mai 2018, chaque entreprise, association ou établissement public est tenu de se mettre en conformité avec la RGPD. Une application européenne réglementant la gestion et la protection de données à caractères personnelles. Un refus de mise en conformité RGPD entraine de lourdes conséquences à la société. Mais comment procéder à cette mise en conformité à la RGPD ? Voici les détails.
Qu’est-ce que le RGPD
Entrée en vigueur dans l’Union européenne en mai 2018, le RGPD ou règlement général sur la protection des données est une application européenne régulant et protégeant les données à caractère personnel. Rappelons qu’une donnée personnelle concerne tout ce qui permet d’identifier une personne à savoir le nom et le prénom, l’adresse, la situation maritale, les nombres d’enfants, le numéro de sécurité sociale, numéro de téléphone, courriel, caractéristiques physique ou sociale, empreintes digitales ou encore les adresses IP d’une personne. Ces données sont essentielles à une entreprise, car elles garantissent la compréhension et le traitement des demandes issues des clients.
La réglementation responsabilise donc les entreprises sur la manière dont elles traitent les données personnelles récoltées dans le cadre de leur activité. Elle concerne toutes les structures qui collectent et traitent des données personnelles pour son compte ou pour un tiers, que ce soit une entreprise, une association ou un organisme public tel que les hôpitaux. Mais avec le développement actuel d’Interne avec son Big Data, la quasi-totalité des entreprises est désormais dans l’obligation de se mettre en conformité avec le RGPD. Plus d’informations à ce sujet sont disponibles sur www.dpms.eu.
Déterminer un DPO et cartographier les données
Certaines étapes doivent être respectées pour intégrer cette réglementation aux pratiques quotidiennes de l’entreprise. Pour une mise en conformité RGPD, il faudra d’abord désigner un DPO. Traduit de l’anglais « Data Protection Officer, il s’agit d’un délégué à la protection des données spécialisé dans la mise en conformité de l’organisme au RGPD.
Ensuite, cartographier les données, c’est-à-dire recenser avec précision la manière dont les données sont traitées et exploitées au sein de l’entreprise. Cette cartographie doit indiquer les pratiques de l’entreprise sur les méthodes de traitement des données, les types de données rassemblés et traités par les différents services au sein de l’entreprise, tous les acteurs, dont chacun des membres du personnel même les sous-traitants, et même les origines et les destinations des données. En troisième étape, il faudra prioriser les actions et les planifier. Cette étape consiste à établir un calendrier d’actions de contrôle ou de correction en fonction des objectifs et des contraintes en termes de gestion des risques.
La gestion des risques et la sécurisation des données
Il faudra aussi détecter les risques majeurs liés au traitement des données sur les droits et les libertés des personnes. Cette étape est très importante, car elle permet de gérer éventuels risques de fuites de données personnelles ou de violation de la protection des données. L’étude doit contenir une description détaillée du traitement des données et de sa finalité. Elle doit également mentionner une appréciation de l’utilisation des données vis-à-vis des droits et libertés fondamentales de la personne concernée. Une analyse au préalable des risques peut éviter à l’entreprise de lourdes sanctions prévues en cas de violation ou de fuite. Les sanctions peuvent en effet être plus ou moins lourdes en fonction de la catégorie de l’infraction. Elles peuvent effectivement aller jusqu’à une vingtaine de millions d’euros dans le cas d’un groupe international.
Et enfin, le plus important, c’est de sécuriser les données. Pour ce faire, il est nécessaire d’anticiper les failles dans la collecte et le stockage en mettant en place des procédures écrites de sécurisation de données. À noter que chaque entreprise dispose de 72 heures suivant un incident pour déclarer une faille pouvant causer une fuite ou un vol de données après de l’autorité de contrôle.