Comprendre et préparer l’arrivée du Règlement Général sur la Protection des Données (RGPD)
Aujourd’hui, ce vendredi 25 mai 2018, entre en vigueur le fameux Règlement Général sur la Protection des Données. Cette nouvelle règlementation a pour vocation de renforcer les droits des citoyens européens en les rendant davantage maitres de leurs données et de leur utilisation. Les entreprises vont donc devoir être particulièrement vigilantes. Concernant l’ensemble des pays de l’Union Européenne, son avènement pose de nombreuses questions. Le Groupe Skema Conseil, dans sa démarche de conseil, vous donne l’essentiel de cette réforme d’envergure afin de mieux la comprendre pour bien s’y préparer.
Tout d’abord, qui est concerné par le RGPD ?
Tous les organismes publics et privés de l’Union Européenne étant amenés à traiter, utiliser, gérer ou stocker des données à caractère personnel sont concernés par cette nouvelle règlementation qui vise à harmoniser les législations de l’UE tout en protégeant davantage ses citoyens.
Quand doit-il être mis en place ?
Cette nouvelle règlementation entre aujourd’hui, le 25 mai 2018, en vigueur. Il devient donc primordial pour les entreprises de commencer à auditer leurs processus de traitement des données et de s’adapter pour être en conformité. En cas d’audit durant la première année de mise en application du RGPD, il sera essentiel de pouvoir attester de « bonne volonté » en ayant commencé des audits internes des processus et en ayant cartographié ses données. Ces premières étapes peuvent être faites en interne ou sous-traitées à des cabinets de conseil ou des Junior-Entreprises comme Skema Conseil.
Quelles sont les grandes lignes du RGPD ?
Le RGPD s’appliquera à l’ensemble des entreprises, quel que soit leur lieu de résidence, dès lors qu’elles traitent des données de personnes résidant sur le territoire européen.
Des amendes dissuasives : les entreprises encourent, en fonction du manquement, une amende allant jusqu’à 2 % à 4 % de leur chiffre d’affaires à l’échelle mondiale dans la limite de 20 millions d’euros.
Droit à l’oubli numérique: le droit à l’effacement des données est l’un des changements phares du RGPD. Tout individu peut désormais s’adresser directement au responsable de traitement pour effacer ses données. Il existe toutefois un temps défini pour les différents types de données et un individu ne pourra demander la suppression de ses données du jour au lendemain.
Minimisation de la collecte: la récolte des données doit se limiter au strict nécessaire. Par exemple : un vendeur de chaussures n’a pas à connaître les préférences alimentaires de ses clients.
Consentement de l’utilisateur (il est obligatoire dans certains cas comme avec les données sensibles) : il doit être explicite pour chaque usage et non plus global.
Droit d’accès aux données, droit de les rectifier, de s’opposer à certains types de traitements (exemple : profilage), droit à la portabilité des données (récupérer toutes les données communiquées à une plateforme pour les conserver ou les transférer à un autre opérateur). Toutes ces opérations doivent être facilitées par la mise en place de nouveaux outils.
A intégrer dès la conception: les entreprises doivent intégrer cette nouvelle règlementation sur la protection de la vie privée dès la conception de leurs logiciels ou services. Ce nouveau contrôle par les utilisateurs de leurs données doit être facilité à travers de nouveaux outils tels que la possibilité d’activer ou désactiver la géolocalisation, ou d’être informé de la collecte de données en fond pour les applications.
Auto-responsabilisation: l’entreprise doit prendre toutes les mesures nécessaires pour entrer en conformité avec le RGPD, et doit pouvoir prouver qu’elle a commencé des démarches en ce sens. Ainsi, les entreprises devront notamment remplir un registre répertoriant toutes les catégories de données traitées, les finalités du traitement, les pays où elles sont transférées, la durée de conservation, etc. Pour les entreprises effectuant du traitement de données à grande échelle, elles devront bénéficier d’un délégué à la protection des données (DPO) clairement identifié au sein de l’entreprise. Il sera responsable de la conformité au RGPD.
Sécurité : toutes les mesures nécessaires doivent être prises pour sécuriser les données collectées par l’entreprise. Les entreprises devront également identifier toutes les failles possibles et établir des processus de réponse à ces dernières.
Recours à la justice: des associations dédiées à la protection des données permettront d’introduire des recours collectifs. L’entreprise pourra alors être obligée de réparer le dommage occasionné.
Étude d’impact : cette obligation concerne les entreprises traitant des volumes de données en masse, elles devront ainsi identifier l’impact de leur service/produit. Par exemple pour une caméra embarquée dans un véhicule, elle ne devra pas collecter de donnée sur les piétons ou les plaques d’immatriculation qu’elle peut être amenée à filmer.
La mise en conformité au Règlement Général sur la Protection des Données représente aujourd’hui l’une des priorités majeures des entreprises. Celles-ci doivent ainsi y dédier une personne en interne ou recruter quelqu’un qui comprendra tous ses aspects.
Une question ou une demande d’informations complémentaires sur cette nouvelle exigence ? La volonté déjà affirmée de vous y conformer et d’aller de l’avant ? Afin de poser les premières pierres de votre mise en conformité, n’hésitez pas à nous adresser un message, l’un de nos chefs de projet prendra contact avec vous pour fixer un rendez-vous.
Juliette de Blic, Vice-Présidente Responsable Commerciale, Skema Conseil Lille