Comment répondre concrètement aux exigences du RGPD ?

Comment répondre concrètement aux exigences du RGPD ?

Évaluer cet élément
(2 Votes)

Le règlement européen sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai 2018. Il ne reste donc que quelques semaines aux entreprises pour évaluer leurs systèmes de traitement des données actuels et le mettre en conformité. Car à défaut, des sanctions financières élevées sont prévues (jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise).

Quelles sont les entreprises concernées par ce règlement européen ? Quels sont les différents acteurs ? Quelles sont les étapes essentielles à respecter afin que les entreprises se mettent en conformité ? Telles sont les questions que la rédaction de GPO Magazine a posé à Amira Bounedjoum, avocate au sein du département Nouvelles technologies et propriété intellectuelle du Cabinet Simon Associés. 

Auparavant, un bref aperçu du Règlement Européen sur la Protection des Données Personnelles et de ses enjeux est nécessaire. Le RGPD a été adopté par le Parlement européen le 14 avril 2016 et il entrera en application le 25 mai 2018. Le RGPD poursuit plusieurs objectifs : uniformiser au niveau européen la réglementation sur la protection des données, responsabiliser davantage les entreprises en développant l’auto-contrôle, renforcer le droit des personnes (droit à l’accès, droit à l’oubli, droit à la portabilité…). 
Amira Bounedjoum

> Quelles sont les entreprises concernées par le RGPD ?
À compter du 25 mai 2018, le RGPD s’appliquera à toutes les entreprises quelle que soit leur taille, privées ou publiques des 28 États membres de l’Union européenne. Plus précisément, aux entreprises proposant des biens et des services sur le marché de l’UE, collectant et traitant des données à caractère personnel sur les résidents de l’UE. Mais le règlement s’appliquera également aux entreprises non implantées en UE, dès lors qu’elles collectent et traitent des données personnelles sur des résidents de l’UE. « Si vous êtes un grand groupe international implanté au Japon et que le traitement de données personnelles se fait en France ou dans tout autre pays de l’UE, vous êtes concerné par le RGDP et par conséquent, vous devez identifier tous les chantiers de mise en conformité avec ledit règlement », indique Amira Bounedejoum.

> Quelles sont les données concernées ?
Il faut se demander si l’on est en présence de « données personnelles ». La Cnil indique qu’une « donnée personnelle » est une donnée se rapportant à une personne physique, qui peut être identifiée quelque soit le moyen utilisé. Il peut s’agir de données directement identifiantes : nom et prénom, photo, e-mail nominatif, de données indirectement identifiantes : identifiant de compte, NIR, empreinte digitale, d’un recoupement d’informations. Toute la question qui reste en suspend est de savoir si les données utilisées en BtoB seraient concernées. Seraient exclues du périmètre, les données relatives aux entreprises et aux personnes morale (comme par exemple les données administratives consultables en ligne : nom du dirigeant, coordonnées du siège, nombre de salariés, éléments de bilan comptable, ndlr) - qui ont un caractère public. Par contre, les entreprises qui s’adressent à une clientèle BtoB seraient également concernées, dès lors qu’elles collectent et exploitent des données relatives à des individus, par exemple à des contacts identifiés au sein de leurs comptes clients. « Souvent des entreprises opposent aux données personnelles les données d’ordre professionnel. Or, le terme « personnel » renvoi à une personne physique, un individu et non aux aspects nécessairement privés », précise Amira Bounedejoum. Dans tous les cas, les professionnels s’accordent sur le fait que la RGPD entend bien s’appliquer, à terme, à l’ensemble des données personnelles, dont les données relatives à une situation professionnelle comme le poste occupé, un numéro de téléphone ou une adresse e-mail professionnels sont des données à caractère personnel.

> Qu’est-ce qui change pour les individus ?
Le Règlement renforce les droits existants des individus et en consacre de nouveaux. L’information et le consentement sont beaucoup plus étendus et strictes qu’auparavant. Par exemple, il faut dorénavant être en mesure de prouver le consentement de la personne et celui-ci devra être donné via une action explicite et positive. Parmi les nouveaux droits consacrés par le RGPD, le droit à la portabilité permet à une personne de récupérer les données qu’elle a fournies dans un format lisible par une machine ou de les transmettre directement à un autre responsable de traitement.

> Quels sont les acteurs concernés ?
Les acteurs sont toujours les mêmes, à savoir : les responsables de traitement, les sous-traitants, les personnes concernées et les destinataires. Toutefois, et concernant plus particulièrement les responsables de traitements et les sous-traitants, leurs modes de fonctionnement évoluent et un nouveau schéma voit le jour avec le RGDP. Les sous-traitants vont être plus encadrés qu’ils ne l’étaient auparavant. Les entreprises devront choisir des sous-traitants présentant des garanties suffisantes. « Jusqu’à présent, sur un plan strictement administratif, seuls les responsables de traitement ne pouvaient voir leur responsabilité engagée et n’avaient à l’encontre de leur sous-traitant qu’un recours contractuel. Par ailleurs, la loi informatique et libertés ne prévoyait à la charge du sous-traitant qu’une obligation de sécurité. Dorénavant, les sous-traitants ont une responsabilité directe et les personnes concernées peuvent s’adresser indistinctement à eux ou aux responsables de traitement. Par ailleurs, le Règlement impose une série de mentions obligatoires dans les contrats conclus entre les responsables de traitement et les sous-traitants. En conséquence, les entreprises devront revoir leurs contrats pour tenir compte de ce nouveau formalisme mais également pour aménager leur responsabilité. Enfin, le Règlement prévoit la possibilité qu’il y ait plusieurs responsables de traitement conjoints. Il est possible que certains sous-traitants, largement autonomes et indépendants dans leurs opérations de traitement ait dorénavant la qualité de responsables conjoints », explique Amira Bounedjoum.

Au niveau interne, il va y avoir une nouvelle organisation de l’entreprise avec la désignation d’un délégué à la protection des données. Ce délégué est le chef d’orchestre de la protection des données en interne. En effet, la Cnil* précise que « la désignation d’un délégué à la protection des données est obligatoire en 2018 si vous êtes un organisme public, une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions. Même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux ».

> Quelles sont les étapes essentielles à respecter afin qu’une entreprise se mette en conformité avec le RGDP ?
Selon la Cnil, il y a 6 étapes essentielles à respecter afin qu’une entreprise se mette en conformité avec le RGDP. « La première étape va être de réaliser un audit à fois juridique et technique. Cet audit va porter sur deux grands volets : d’une part, l’audit des traitements existants, qui permettra la réalisation d’une cartographie des traitements et d’autre part, les impacts du règlement sur la structure (aspect organisationnel). C’est l’audit qui permettra d’identifier les écarts de conformité à la règlementation. Ces écarts donneront alors lieu à des recommandations juridiques et techniques lesquelles vont permettre de planifier l’ensemble des actions devant être mises en place. Il conviendra aussi et surtout de prioriser ces actions », précise Amira Bounedjoum.

La mise en conformité de l’entreprise avec le RGPD se prépare en amont et plusieurs étapes seront nécessaires afin de réussir cette mise en conformité. « À terme, les démarches de mise en conformité conduiront à la mise en place d’une gouvernance des données. En effet, il conviendra d’adopter une politique au sein de l’entreprise afin de traiter les données à caractère personnel. Tout doit être unifié et formalisé : il n’est plus question que le service marketing ait ses habitudes, que le service RH en ait d’autres… Cette politique doit être menée en liaison avec le délégué à la protection des données. Il va y avoir de lourdes transformations en interne à adopter et de nouveaux modes de fonctionnement de l’entreprise à définir et c’est en cela que le RGPD est inédit ! », indique Amira Bounedjoum.


Est-ce que le 25 mai 2018 est une date butoir ?

« Il ne faut pas voir le RGPD comme un couperet en 2018. Nous allons tous ensemble, à partir de mai 2018, pratiquer le RGPD et les nouvelles relations qu’il suscite entre le régulateur et les entreprises... Il faut déconstruire cette idée qu’il y aura un coup de tonnerre en mai 2018 et que, comme des petits soldats, il faut que les entreprises soient prêtes à 100 %. Qui peut être prêt à 100 % sur des questions de données alors qu’elles sont aussi distribuées qu’elles le sont aujourd’hui ? Ce ne serait pas raisonnable. Les régulateurs – et la Cnil en particulier – sont pleinement conscients de cette situation. Nous nous mettons en ordre de marche et nous préparons des outils pour les assister dans leur équipement progressif », explique Isabelle Falque-Pierrotin, Présidente de la CNIL.

Source : www.contexte.com/rgpd-cnil-falque-pierrotin




Lu 1105 fois Dernière modification le vendredi, 13 avril 2018 08:08
Linda Ducret

En 1987, elle devient avocate et crée son cabinet en exercice individuel en 1990. Depuis 2005,  elle est journaliste avec comme terrains de prédilections : les dossiers stratégie du dirigeant, propriété intellectuelle, nouvelles technologies, Incentive.....En 2009, elle publie un roman policier Taxi sous influence, finaliste du Prix du Premier roman en ligne.

Annonces

Trophées International Industries 300X250

 

Annonces

Acheteurs/Travel Managers

Merci de prendre 3 minutes pour nous aider à comprendre comment vous percevez la technologie Blockchain en répondant à ces 9 questions de façon anonyme.
GPOMag vous dévoilera les résultats le 6 septembre 2018.

Répondre à l'enquête : EnqueteBlockchain

Sondage Blockchain

Le magazine digital

Découvrez un extrait du dernier numéro et demandez votre version numérique intégrale pour 10 euros TTC

Capture d’écran 2018-06-18 à 18.52.01.pngExtrait du dernier numéro

Inscrivez-vous à notre édition digitale pour pouvoir feuilleter gratuitement et intégralement le prochain numéro

   je m inscris test

 

Découvrez un extrait de notre édition spéciale Gestion de la mobilité et commandez votre version numérique intégrale pour 10 euros TTC

Capture d’écran 2018-04-04 à 09.56.15.png

Extrait de l'édition spéciale Gestion de la Mobilité en entreprises

Connexion

Devenir membre de GPOMag.fr vous permettra de bénéficier de nombreux avantages réservés uniquement aux membres : Recevoir l'édition digitale mensuelle, Feuilleter les cahiers thématiques et les télécharger gratuitement, Feuilleter gratuitement les derniers numéros de l'année en cours, Télécharger le planning rédactionnel pour connaître les sujets de la Rédaction à venir.

GPO Magazine

GPO Magazine, pour Gérer, Prévoir et Optimiser les ressources de l'entreprise est un magazine d'aide à la décision bimestriel, axé sur l'optimisation de la gestion d'entreprise, pour concrètement guider ses lecteurs dirigeants dans leurs réflexions stratégiques, leurs démarches opérationnelles, la gestion de leurs droits et dans le choix de leurs partenaires.

Une ligne éditoriale concrète et pertinente qui conjugue tendances, cas concrèts et témoignages, dossiers d'analyse, dossiers marchés, dossiers métiers, focus, point de droit, point international, point fiscal. Plus des " Avis d'Experts ".

Contactez-nous

Nos autres sites d'information

Twitter - Derniers posts

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêts.