;RGPD : Comprendre et se mettre en conformité | Groupe MG
Desktop
Tablet
Mobile
Mon info pro

Nos innovations, nos articles

RGPD : Comprendre cette nouvelle obligation et se mettre en conformité

Comment se préparer au Règlement Général sur la Protection des Données Personnelles ? Quelles sont les obligations ? Comment s’organiser pour se mettre en conformité ?

Le RGPD ou Règlement Général sur la Protection des Données Personnelles est la nouvelle référence en matière de protection des données à caractère personnel. Il unifie les règles sur la protection des données qui concernent les individus dans l’Union Européenne. L’objet est de protéger les libertés et droits des personnes physiques en responsabilisant les organisations qui les détiennent.

C’est une obligation qui s’applique à partir du 25 mai 2018 aux organisations ayant un établissement ou proposant des prestations à des individus se trouvant sur le territoire de l’Union Européenne. Il n’y a pas de critère de taille ou de secteur d’activité. Ainsi pour faire simple, toutes les entreprises ou associations sont concernées dès lors qu’elles manipulent des données personnelles.

  • Les données personnelles sont les informations qui se rapportent à une personne physique identifiée ou identifiable.
  • Exemples de données personnelles : nom, adresse, immatriculation, numéro de téléphone, photographie, adresse IP, commune de résidence, empreinte digitale, géolocalisation, pages consultées, e-mails envoyés/reçus…
  • Exemples de données personnelles permettant l’identification par recoupement : date de naissance associée à une commune de résidence…
  • Ou se trouvent généralement ses données personnelles dans les organisations ?
  • – Bases de clients/membres et de prospects, CRM, outils de gestion de la relation commerciale
  • – Formulaires : type formulaire de contact sur le site internet, inscription à un évènement
  • – Gestion RH : dossiers sur les salariés, paies
  • – Outils de newsletter
  • – Carte fidélité
  • – Infrastructure informatique
  • – Vidéo surveillance
  • – Export/Import, archives
  • – …

Aujourd’hui la majorité des données personnelles sont détenues et traitées sur des systèmes informatiques (logiciels, base de données…).

Néanmoins toutes les formes de supports sont concernées telles vos archives, fichiers papiers, classeurs, affichages…  Il faut donc organiser les données papiers selon les règles du RGPD notamment en statuant sur leur délai de conservation, savoir les données que vous détenez.

Le règlement comporte au total 99 dispositions. Elles concernent le fait que les données à caractères personnelles soient collectées de manière licite, loyale et transparente. Elles doivent l‘être pour des finalités déterminées et dans un intérêt légitime.

Vous devez avoir le consentement explicite des personnes au moment où vous collectez les données.

Il faut que vous soyez en capacité de répondre à un certain nombre de demandes qu’elles peuvent vous demander, notamment le fameux « droit à l’oubli » ou à la portabilité.

Vous devez limiter le volume de données traitées et les sécuriser. Vous devez avoir une méthodologie pour détruire les documents à la suite du délai de conservation défini et pouvoir identifier d’éventuels vols de données et pouvoir le signaler à la CNIL dans les 72h.Des obligations particulières existent si vous êtes en relation avec des enfants ou des personnes vulnérables.

D’une manière générale il est bon de désigner un pilote dans l’entreprise qui va s’assurer de piloter la gouvernance des données personnelles dans votre structure.

Le RGPD prévoit la nomination d’un DPO ou Délégué à la Protection des Données qui réalise l’inventaire des traitements de données, contrôle le respect du règlement, effectue des actions de sensibilisation auprès de la direction, des salariés et des sous-traitants éventuels. Les compétences nécessaires sont d’avoir une appétence informatique et juridique. Il sera associé ensuite à tous les sujets qui peuvent impacter les données personnelles. D’une manière générale dans les TPE et les PME ce sera une mission complémentaire pour un poste existant.

La responsabilité est portée sur le « responsable de traitement », c’est-à-dire de manière générale la Direction de l’organisation. Vous pouvez être aussi co-responsable de vos sous-traitants éventuels.

Toutes les personnes dans l’entreprise qui manipulent de près ou de loin des données personnelles sont concernées ensuite par la mise en place de bonnes pratiques.

En cas de non maîtrise de vos données, le risque de réputation est important. Comment réagiriez-vous si des données personnelles fuyaient vers l’extérieur ? Comment réagirait vos clients ou partenaires ? Quel impact cela aurait sur vos affaires ?

L’autorité de contrôle pour la France est la CNIL.

Deux types de sanctions sont prévus dans le règlement :

  • – Jusqu’à 2% du chiffre d’affaires annuel mondial en cas de défaut de mise en conformité
  • – Jusqu’à 4% du chiffre d’affaires annuel mondial en cas de défaut de consentement ou de défaut dans l’exercice des droits à la personne.

Vous devez pouvoir prouver que vous avez mis en œuvre des mesures techniques et organisationnelles appropriées. Pour cela il vous faut documenter la conformité.

Les principaux éléments sont :

  • – Un registre des traitements effectués
  • – Réaliser des analyses d’impacts pour les données susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes
  • – S’interroger sur la pertinence des données que vous détenez
  • – Réaliser des notices (dans vos contrats, conditions de vente…) pour informer les personnes concernées
  • – Mettre en place des procédures pour gérer l’exercice des droits des personnes ou la notification d’éventuels incidents auprès de la CNIL (perte ou vol de données principalement).
  • – La mise en place de dispositions pour éviter en premier lieu les fuites de données.

Il n’est pas obligatoire de passer par un prestataire externe, vous pouvez réaliser votre mise en conformité vous-même en y consacrant quelques efforts. Le temps à passer est variable en fonction de votre organisation actuelle et du nombre de traitements que vous gérez.

Comment s’informer ?

MG propose une prestation aux TPE et PME

  • MG vous accompagne pour mettre en place une démarche fonctionnelle pour assurer vos obligations :
  • – En identifiant et auditant vos traitements de données personnelles
  • – En mettant en place les registres et audits adéquats permettant de montrer votre maîtrise des données
  • – En identifiant les éventuelles non-conformités et en proposant des actions concrètes pour y remédier

Notre équipe est composée de consultants en Système d’Informations et de consultants en Organisation.

Nous avons bâti notre méthodologie pour pouvoir répondre aux besoins des petites et moyennes entreprises. Notre méthode permet un déploiement rapide et concret. Elle prend la forme d’1 jour sur le terrain et vous donne les clés essentielles.

La mission flash MG comprend :

Des options complémentaires sont disponibles si vous souhaitez que nous rédigions les traitements complémentaires.

Pour plus d’informations :







J’accepte que les informations saisies soient exploitées dans le cadre de cette demande et de la mission qui peut en découler

Retrouvez d'autres conseils

Tous les articles