RGPD : que retenir de la loi et que faire pour s’y préparer ?
Le 14 avril 2018, le Parlement européen a voté l’adoption du Règlement général sur la protection des données personnelles (RGPD), posant un nouveau cadre juridique afin d’ordonner la protection des informations communiquées par les individus aux entreprises installées sur le territoire européen. La date du 25 mai 2018 marque l’obligation pour ces entreprises d’être en conformité avec cette nouvelle loi, ainsi que son entrée en vigueur.
A travers la loi RGPD, deux objectifs distincts. D’une part, la protection de la vie privée des citoyens européens ; d’autre part, des droits accrus sur l’utilisation qui est faite de leurs données personnelles.
Données personnelles : de quoi parle-t-on ?
La loi RGPD s’articule essentiellement autour des « données personnelles ». Celles-ci englobent un domaine relativement large, puisqu’il peut s’agir simplement de noms, prénoms et adresses mail stockées dans un fichier Excel tout comme de données plus complètes (date de naissance, nombre d’enfants, métier etc.) sur un outil CRM. A ce titre, la loi précise ce que sont les données personnelles : « toute forme d’information qui peut être associée directement ou indirectement à un individu et qui concerne sa vie privée, professionnelle ou publique, relève du dénominateur commun de données personnelles ».
Consentement, notification, transparence et droit à l’oubli : les principes du RGPD
La règlementation repose sur 4 principes :
- Le consentement, qui doit être formulé de manière libre, éclairée, univoque et spécifique. Les entreprises doivent désormais obtenir le consentement des individus afin de collecter ou de traiter leurs données ;
- L’obligation de notification en cas de violation de données personnelles ;
- La transparence sur la manière dont les données clients seront traitées ;
- Le droit à l’oubli qui implique que les données personnelles d’un individu puissent être effacées sur simple demande.
Qui est concerné par le RGPD dans l’entreprise ?
A partir du moment où des données externes sont acquises et manipulées par une entreprise, elles entrent dans le cadre de la loi. Ainsi, dans une organisation qui traite des données inhérentes à des clients, des factures, des demandes d’information et des données marketing, tout le monde est concerné. En termes de métiers, il en va de même : personne (ou presque) n’échappe à la nouvelle réglementation en vigueur.
Certaines entreprises doivent, dans le cadre de la loi, désigner un DPD (Délégué à la protection des données) qui veille au traitement correct des données. Cette personne doit également aider l’entreprise à se conformer au RGPD et vérifier si la législation est correctement appliquée. En cas de besoin, cette personne est le contact privilégié de l’entreprise avec les autorités compétentes. Les entreprises ayant pour obligation de désigner un DPD sont celles qui effectuent des opérations de traitement à grande échelle avec observation des individus, celles qui traitent des données dans le cadre d’opérations particulières relatives à des infractions et les autorités publiques.
Comment savoir si votre entreprise est conforme au RGPD ?
La Commission européenne a publié un plan en 13 étapes permettant de prendre un ensemble de mesures concrètes. Néanmoins, certains points peuvent être mis en place rapidement par toutes les entreprises, quelle que soit leur taille et quel que soit leur secteur d’activité :
- Effectuez l’inventaire des données enregistrées dans votre entreprise et prenez note de l’endroit où elles sont conservées ainsi que leur format ;
- Répertoriez les données dont vous disposez en catégories, certaines étant plus sensibles que d’autres (par exemple, les données relatives au parcours médical d’un individu ou à son casier judiciaire)
- Evaluez le niveau de protection de vos données : sont-elles adéquatement protégées ?
- Référez-vous au cadre du RGPD pour documenter les étapes à mettre en place pour être en harmonie avec le nouveau règlement.
Une hésitation par rapport à votre conformité à la loi RGPD ?
Tendances.media peut vous fournir un audit complet de votre situation en partenariat avec un cabinet juridique spécialisé.
Nous pouvons également mettre en place et/ou développer des outils automatisés, respectant les dispositions des articles 38 et suivants de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
Contactez nous maintenant via notre formulaire de contact en cliquant ici