RGPD : comment se mettre en conformité ?

A compter du 25 mai 2018, le Règlement Général de la Protection des Données (RGPD) entre en vigueur dans toute l’Union Européenne (UE). Celui-ci remplacera l’actuelle directive sur la protection des données personnelles de 1995. Quels impacts sur le traitement des données personnelles ? Quelles sont les nouvelles obligations qui incombent aux entreprises ? Focus sur le RGPD et la marche à suivre pour se mettre en conformité.

Le RGPD, une réponse face à l’explosion du numérique et à l’apparition de nouveaux usages

A l’heure où la défiance des utilisateurs grandit de plus en plus face à la récolte et l’utilisation de leurs données personnelles, et notamment avec le récent scandale Cambridge Analytica et Facebook, la protection des données devient un enjeu primordial et capital pour les entreprises.

Le Règlement Général de la Protection des Données (RGPD) arrive donc à point nommé et répond à une double nécessité : remplacer la directive de 1995, dépassée par l’explosion du numérique et l’apparition de nouveaux usages, mais également, responsabiliser les professionnels face à la protection des données personnelles qu’ils ont entre leurs mains.

Une nouvelle règlementation européenne en matière de protection des données personnelles

L’apparition du RGPD doit aussi permettre d’harmoniser le cadre juridique européen en matière de protection des données personnelles. Après le 25 mai 2018, tous les États membres de l’UE disposeront d’un seul et même texte de référence.

Ainsi, toutes les entreprises collectant, utilisant ou retraitant des informations se rapportant à une personne physique identifiée ou identifiable, devront se mettre en conformité. Plus important encore, ce texte concerne l’ensemble des résidents de l’Union Européenne. Cela signifie que toutes les entreprises situées hors de l’UE doivent également être en conformité avec le RGPD et désigner un représentant établi en Europe si elles traitent des données personnelles de résidents européens.

Légalité, transparence, consentement : les principes fondateurs du RGPD

Cette nouvelle règlementation s’appuie sur les principes de légalité, de transparence et de loyauté. Cela signifie que les entreprises doivent préalablement récolter le consentement écrit et explicite de la personne avant tout traitement de ses données personnelles. De même, la finalité d’utilisation et la conservation de la donnée doivent être limitées et cohérentes. Enfin, les données en question doivent être exactes, à jour et classées comme confidentielles.

Pour rappel, une donnée personnelle est une information relative à une personne physique identifiée ou identifiable directement ou indirectement par certains éléments (nom/prénom, adresse électronique, coordonnées téléphoniques, photographie, etc.).

Anticipation et organisation, maîtres mots de la mise en conformité RGPD des entreprises

A partir du 25 mai 2018, tous les professionnels devront impérativement être en mesure de justifier leur mise en conformité avec le RGPD sous peine de sanctions pouvant aller jusqu’à 4% du chiffre d’affaires annuel.

Pour garantir la protection des données en leur possession et anticiper l’échéance du 25 mai, la CNIL préconise de respecter 6 grandes étapes :

  1. 1. Nommer une personne responsable de la mise en place du RGPD ;
  2. 2. Cartographier les données personnelles et leurs traitements en élaborant un registre où seront recensés les différents traitements des données personnelles dont dispose l’entreprise ;
  3. 3. Prioriser les actions à mener en fonction des risques que les traitements de l’entreprise font peser sur les données personnelles ;
  4. 4. Gérer les potentiels risques identifiés comme élevés ;
  5. 5. S’organiser en interne pour garantir la protection des données (procédures, formation/sensibilisation des équipes) ;
  6. 6. Documenter la conformité pour prouver la mise en conformité de l’entreprise au règlement.

L’arrivée imminente de la mise en application du RGPD représente pour les entreprises un véritable défi nécessitant la mise en œuvre de mesures techniques et opérationnelles. Il apparaît fondamental pour ces dernières de changer leurs réflexes actuels sur la collecte, le traitement ou la conservation des données.