RGPD :  LE COMPTE A REBOURS A COMMENCÉ

Le 25 mai 2018, la nouvelle loi sur la protection de la vie privée, appelée Règlement Général de Protection des Données (RGPD), s'appliquera à toutes les entreprises - grandes et petites - en Europe. Les grandes banques, les assurances, les opérateurs télécoms et les grands acteurs de l’internet sont censés s’y conformer.

En cas de non conformité, les entreprises sont exposées à de lourdes pénalités, d’au maximum 4% du chiffre d’affaires annuel mondial ou jusqu’à 20 millions d’euros, et cela concerne aussi les PME.

Les très petites, les petites et moyennes entreprises sont-elles réellement concernées?

Probablement, il y a dix ou quinze ans, les PME étaient peu concernées. Pas de Facebook, pas d’iPhone, pas de Big Data, pas de Cloud.

La révolution numérique ne faisait que commencer, et le budget internet d’une PME se limitait souvent à son site internet statique.

Aujourd'hui, la protection des données est un enjeu essentiel pour la survie des entreprises. Les produits et les services sont conçus, fabriqués, et livrés par le biais d'une chaîne de valeur très étroitement liée au Cloud, à la mobilité, aux réseaux numériques et au partage d'informations.

Toute l'organisation de la société dépend du numérique.

En effet, lorsque l’on parle de données personnelles, on inclut les informations des employés, des clients, des partenaires, des prospects, que celles-ci se trouvent sur des ordinateurs, des terminaux mobiles ou des serveurs, dans des échanges emails ou dans la consignation des informations et du traçage même non identifié, des visiteurs du site Internet de l’entreprise.

Le caractère omniprésent des données numériques pour les PME et les associations fait que personne ne peut ignorer la question de savoir comment ils se conformeront.

Quels sont les impacts du RGPD?

Le RGPD comprend à la fois, un certain resserrement des lois existantes (consentement plus strict, approche fondée sur les risques, obligation de traitement supplémentaire), et plusieurs nouveautés (droit à la transférabilité des données, exigences en matière de notification des violations de données et règles relatives à la protection de la vie privée des enfants).

La plus grande erreur qu'une entreprise ou une association pourrait faire dans cette situation serait de reporter le début d'un projet RGPD en interne. Alors, par où commencer avec des ressources limitées?

Quelles sont les 5 premières actions faciles, que toute PME peut mettre en place au plus tôt?

1. Nommez un Délégué à la Protection des Données Data Protection Officer (exigence de la loi) :

Si votre activité principale vous amène à réaliser un suivi régulier de données sur des personnes, il est souhaitable de nommer un collaborateur interne le plus tôt possible, car cela aidera à responsabiliser l’entreprise.

2. Examinez vos pratiques de traitement des données :

La documentation de vos pratiques de traitement des données peuvent s’envisager de façon simple. Bien que le RGPD ait des recommandations très strictes en matière de documentation, il conviendrait de commencer dès que possible avec une approche moins ambitieuse, puis d'améliorer vos méthodes au fil du temps. Pour les petites entreprises, la documentation nécessaire pourrait même être produite à l'aide d'un modèle de feuille de calcul, qui définirait les catégories de données, le but des données et le responsable des données.

3. Soyez conscient votre niveau de risque :

Il serait sage de d’initialiser une réflexion sur les zones à risque potentiel. Le RGPD met en œuvre une approche dite de gestion des risques, ce qui signifie que plus les risques liés aux droits à la vie privée des individus sont grands, plus les garanties et la transparence seront nécessaires ( des données de localisation relatives aux enfants, soit de la perte d’information médicale ou sociale).

4. Soyez transparent :

Le RGPD exige que vous fournissiez certaines informations aux particuliers sur le traitement de leurs données personnelles. Par exemple, cela comprend l'identité de la société qui traite ses données et les coordonnées du responsable concerné. En outre, les clients devront être informés du cadre juridique associé à ce traitement (droit d’accès aux données,…). Cela exigera finalement la révision des déclarations de confidentialité à la lumière du RGPD, incluant tous les contrats que vous pourriez avoir avec les sous-traitants qui traitent des données personnelles en votre nom (comme les fournisseurs de services Cloud).

5. Décidez de faire vous-même ou de vous faire accompagner :

Mis à part de commencer tôt, pouvez-vous le faire en interne. Une option possible serait de se faire accompagner pour savoir précisément où sont stockées ces informations, définir les modèles de traitement des données, et disposer d’une stratégie de sauvegarde et de résilience. Par ailleurs, d'autres éléments, tels que la documentation requise par le RGPD, peuvent être créés facilement en interne.

Si les cinq étapes ci-dessus ne vous permettront pas à elles seules d'atteindre la conformité à 100%, elles sont une excellente base pour démarrer le processus du RGPD et être fin prêt le 25 mai 2018