Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données est une évolution logique aux différents textes sur la protection des données des consommateurs de l’Union Européenne. Il sera applicable le 25 mai 2018 dans tous les Etats membres de l’Union Européenne. Dès son application, il remplacera les réglementations nationales actuellement en vigueur.

Quels en sont les objectifs ?

• Redonner aux citoyens européens le contrôle de leurs données personnelles.
• Simplifier l’environnement réglementaire au sein de l’UE pour les entreprises internationales.
• Faciliter la libre circulation des données personnelles au sein de l’UE.

Pour les entreprises, le chemin de la mise en conformité est de taille. Elles ont l’obligation d’adapter leurs outils et procédures.

Comment vous mettre en conformité ?

Pour commencer, posez-vous certaines questions : Où sont les données que vous stockez ? Pourquoi avez-vous ces données ? Avez-vous un consentement d’utilisation de vos consommateurs ? Qui a accès à ces données ? Qui les traite ? Combien de temps les conservez-vous ? Comment les récupérez-vous ?

Ensuite, adaptez vos méthodes et outils : supprimez les données inutiles (ex : Mme X n’est plus cliente depuis plusieurs années, alors pourquoi conserver ses revenus mensuels ?). Construisez une étude d’impact (ex : en cas de faille de sécurité sur les données, quels sont les risques majeurs et mineurs ?). Retravaillez vos contrats pour y intégrer la co-responsabilité du traitement des données. Identifiez toute faille potentielle de sécurité. Rédigez des codes de conduite (ex : traçabilité des demandes liées au droit des personnes, information de la personne concernée…). Ajoutez les nouvelles mentions sur vos supports de communication…

Vous vous sentez un peu démunis face à l’ampleur des ajustements à faire ? Le meilleur conseil que je puisse vous donner est de vous informer ! Pour cela, OpenField joue un rôle majeur de clarification et d’interprétation du texte. Puis, vous pouvez aussi envisager de nommer (ou faire appel à) un DPO. Ce Data Protection Officer se chargera de sensibiliser et former les équipes pour une mise en conformité en douceur.

Pour aller plus loin : comprendre le RGPD en 13 points

1. Extension de la définition de la donnée à caractère personnel.
2. Création d’un registre des traitements pour expliquer la finalité du traitement des données.
3. Engagement réciproque de responsabilité de tous les acteurs traitant des données.
4. Mise en place du « privacy by design » : seul un minimum d’informations doit être collecté.
5. Nécessité d’une analyse d’impact avant la collecte de données pour identifier les risques liés à leur traitement (ex : si faille de sécurité).
6. Précision du traitement des failles de sécurité : définition, sanction, communication.
7. Création d’un nouveau métier, le Data Protection Officer (DPO) 
8. Co-responsabilité de tous les acteurs : responsabilité conjointe et de même degré.
9. Consentement préalable du client renforcé, explicite et pour une durée déterminée.
10. Extension des droits à la personne : actuellement 4 droits, à venir 6 nouveaux.
11. Nouvelle application territoriale : chaque consommateur européen est protégé, peu importe son lieu de connexion (même s’il est hors UE)
12. Encadrement des transferts de données personnelles hors UE : uniquement avec accord de la personne
13. Alourdissement des sanctions : max 20 millions d’euros ou 4% du CA mondial