Voilà 1 mois que tout le monde à ce « mot » à la bouche et que votre service juridique est en panique. En effet ce règlement entre en vigueur le 25 mai 2018, mais a été adopté par le Parlement Européen et le Conseil le 27 avril 2016. Pro activité quand tu nous tiens; oups ! Le RGPD a supplanté la priorité n° 1554 de nos agendas respectifs.

COMMENÇONS PAR LA DÉFINITION D’UNE DONNÉE PERSONNELLE

Une donnée personnelle (ou à caractère personnel) est une information permettant l’identification d’une personne physique directement ou indirectement.Exemples : une adresse IP, un numéro de sécurité sociale, une adresse email…. A ces mêmes données peut s’ajouter un caractère dit sensible, si elles permettent de révéler des origines ethniques, des opinions politiques ou religieuses… qui impose un encadrement de niveau élevé. Le RGPD vise donc la mise en place ou mise en conformité de la protection de ces données.

EN BREF, LES ENTREPRISES DEVRONT :

– Récolter et conserver le consentement écrit, clair et explicite au préalable avant tout traitement de données, dont la constitution est basée sur le consentement de l’intéressé.
– Limiter la collecte au strict nécessaire à son activité et ses besoins identifiés.
– S’assurer que pour les enfants de moins de 16 ans, le consentement est donné par les titulaires de l’autorité parentale.
– Sécuriser les données récoltées.
– Se fixer un délai de retrait ou d’effacement des données personnelles.

Et surtout pouvoir le justifier à compter du 25 mai 2018 sans quoi les sanctions peuvent être lourdes : en cas d’infraction, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

CE QUE NOUS RETENONS DES ÉTAPES DE MISE EN CONFORMITÉ DE LA CNIL :

Établir la cartographie de vos traitements de données :

Faites la liste de tous les outils en ligne que votre entreprise utilise et pour lesquels des données (internes ou externes) sont collectés : logiciel de paies, outils de gestions clients/prospects, logiciel comptable, messagerie instantanée interne etc.

Identifier les données traitées :

Préciser le type de données et leur finalité, de sorte de vous assurer que certaines ne soient pas superflues voire même injustifiées. Répondre à leur finalité : qu’est ce qui justifie leur collecte ? Ex : L’établissement des statistiques financières, gestion d’opérations de prospection, gestion des candidatures, Le calcul et paiement des rémunérations …

Mettre en conformité :

Mettre en place les actions nécessaires afin de répondre au règlement si vous avez identifié des traitements de données à caractère personnel, et plus encore lorsque les données sont à risque (données sensibles, données de profilage etc.). Il faudra dans ce cas réaliser une étude d’impact.

Mettre en place la documentation nécessaire :

De sorte à prouver votre conformité au règlement. Il faudra la réexaminer et l’actualiser régulièrement.

Alors oui ce règlement et ses conséquences peuvent paraître effrayants, mais rappelons que déjà aujourd’hui toutes entreprises doivent effectuer des déclarations, voire des demandes d’autorisation auprès de la CNIL. Le RGPD lui demande juste d’être en conformité. 

Margaux

Chargée Marketing