Le Blog de Clementine

Depuis plusieurs semaines vous avez sans doute reçu de nombreux mails de vos prestataires de services en ligne. Ces derniers indiquant que leurs conditions générales d'utilisations intègrent cette nouvelle réglementation ou encore qu'ils sont désormais "conformes" à la RGPD. Vous trouverez dans cet article quelques pistes pour vérifier votre conformité RGPD, et savoir si vous êtes concerné .

Il s'agit d'un texte européen qui est applicable en France à partir du 25 Mai 2018. Ce dernier impose une mise en conformité de la part des entreprises afin de protéger les données personnelles. En cas de non conformité lors des contrôles par la CNIL (Commission nationale de l'informatique et des libertés) des organisations, ces dernières encours des sanctions administratives et/ou des amendes pouvant allez jusqu'a 4% du CA de l'exercice passé.

Le RGPD vient en remplacement d'un texte déjà existant en France : la Directive  95/46/CE datant de 1995. Le RGPD s'avère applicable à l'ensemble des états membre de l'Union Européenne. L'objectif ici étant d'harmoniser la réglementation pour tous les pays membre de l'UE. L'idée de ce texte étant évidemment de responsabiliser les entreprises sur le sujet de la protection des données.

Vous pensiez y échapper ? Impossible ! Quasiment toutes les entreprises sont concernées. En effet vous êtes concerné si vous traitez des données personnelles. Voici quelques précisions :

Définition d'une donnée personnelle : Il s'agit d'une information permettant d'identifier une personne physique. Quelques exemples de données personnelles : une carte de visite, une carte bleue, un nom, un prénom, une date de naissance, une adresse mail nominative, un numéro de client...

Définition d'un traitement de donnée :Il s'agit d'une opération effectuée sur une donné. Quelques exemples de traitement de données : Collecte, enregistrement, stockage, transfère, revente...

Vous comprenez désormais pourquoi la plupart des organisations sont concernées. Le simple fait de conserver une carte de visite vous expose à ce nouveau règlement.

Délégué à la protection des données

Tout d'abord il est nécessaire dedésigner un Délégué à la Protection des Données (DPO). Cette personne pilotera dans l'entreprise le projet et devra être au fait des aspects juridiques et techniques de ce dernier. Ces compétences sont essentielles pour comprendre l'enjeux et guider l'organisation dans son projet en définissant les chantiers prioritaires.

Cartographie

La seconde étape consiste àcartographier l'ensemble des donnéestraitées par l'entreprise. Cette cartographie va reprendre les caractéristiques des différentes données comme par exemple :  le type de données, le type de traitement, son objectif et sa légitimité, le stockage, l'accès...

Plan d'action

L'étape suivante aura pour objectif dedéfinir un plan d'actionpour corriger les anomalies alors identifiées à l'occasion de la cartographie. Il s'agit là de prioriser les actions à mener et de fixer des points d'étapes au projet. Cela peut nécessiter différentes compétences, qui seront trouvées en interne ou en externe.

Gestion des risques

Pour poursuivre dans votre projet de mise en conformité, il sera nécessaire d'apporter une réflexion plus fine propre à la protection des données. Lors des précédentes étapes vous aurez identifié des anomalies liées à la sécurité des données, il sera nécessaire d'évaluer ces risques à l'aide d'une étude d'impact pour chacun des risques.

Procédures

Une fois le plan d'action définit et les premières anomalies corrigées  il conviendra par la suite demettre en place de nouvelles procéduresafin de garantir une protection maximale des données, et ce pour chacun des traitements qui auront été identifiés lors des étapes précédentes. Il faudra à ce moment tenir compte de "la vie des données" afin d'anticiper tous les événements possible et fiabiliser son organisation.

Documentation

Pour terminer, il vous faudradocumenter l'ensemble de votre projet. C'est à dire préciser dans un document l'ensemble de ces informations en reprenant votre cartographie, votre plan d'action, vos anomalies et les corrections apportées, et toutes les procédures qui ont été mise en place au fur et à mesure du projet.

Sachez que la conformité RGPD n'est jamais acquise, elle évolue sans arrêt au fur et à mesure que votre organisation et son écosystème avance. Il sera donc nécessaire d'actualiser régulièrement votre projet.

En France c'est la CNIL qui est l'institution en charge de vérifier la bonne prise en compte du règlement général sur la protection des données. En effet à partir du 25 Mars prochain tous les organismes devront être conforme. La CNIL, en tant qu'autorité de contrôle, sera en première ligne pour identifier les entreprises qui aurait prises quelques libertés avec cette nouvelle obligation.

La CNIL dispose d'un arsenal de répréhensif  assez impoprtant. Nous vous laissons d'ailleurs seul juge des actions à la disposition de la commission :

Avertissement et mise en demeure de se conformer

Le représentant légal sera alors averti des non conformités relevées et sommé d'appliquer dans un certain laps de temps les mesures nécessaires afin d'être considéré comme conforme.

Suspension partielle ou totale des traitement de données

En cas de non respect des recommandations de la CNIL, cette dernière peut purement et simplement obliger l'entreprise a stopper son traitement de données, ce qui peut pour bon nombre d'organisation complètement stopper sa production (de biens ou services)

Amendes administratives

Enfin, des amendes sont possibles et sont très dissuasives puisqu'elles peuvent aller jusqu'à 4% du chiffre d'affaires ou 20 Millions d'euros, ces montants étant librement fixé par la CNIL.