RGPD : Concrètement, que doivent faire les entreprises ? Comment peuvent-elles bien se préparer ?

Dans un monde où la donnée est devenue un outil stratégique de croissance, une source d’innovation pour le développement d’applications, ou une poule aux œufs d’or pour les nouveaux dispositifs marketing ; avec le RGPD, la Commission Européenne replace l’individu au cœur du dispositif, en renforçant ses droits sur l’utilisation de ses données personnelles et en responsabilisant davantage les entreprises sur les traitements des données.  

Dossier RGPD

Quels sont les changements pour les entreprises ?

Le principe fondamental du RGPD est la responsabilisation et la transparence des entreprises et des organismes publics, impliquant également un renforcement des obligations de sécurité. Pour être prêt et conforme au RGPD, la mise en place d’un processus avec des mesures et des outils internes est obligatoire, dont l’objectif final est de protéger les données des individus, en leur garantissant une utilisation conforme aux finalités du traitement. A compter du 28 mai 2018, les entreprises doivent s’engager à :

  • respecter les principes de protection des données dès la conception d’un service ou d’une application. La protection des données devra être abordée dès les phases amont des projets, faire l’objet de réflexions, constituer une demande dans les cahiers des charges et figurer dans les notes de cadrage et les spécifications.
  • désigner un pilote, appelé DPO (délégué à la protection des données)
  • documenter la conformité légale des traitements des données personnelles
  • réaliser une analyse d’impact en fonction de la nature des traitements (données sensibles…),
  • préciser les responsabilités qui incombent à leurs sous-traitants potentiels (hébergeur, éditeur, …), et s’assurer qu’elles sont bien respectées.
  • notifier des failles de sécurité en cas de violation des données.

 Ce qui change sur la gestion même des données :

  • le consentement des individus : les entreprises devront désormais apporter la preuve que les personnes ont explicitement consenti à ce que leurs données personnelles soient utilisées à tels ou tels types de fins (démarchage commercial, marketing, analyse statistique, revente à des tiers, etc.).
  • le droit à l’oubli : les entreprises doivent être en mesure de garantir aux personnes qui en font la demande, que leurs données seront bien définitivement supprimées de l’ensemble de leurs systèmes, et ce, dans un délai de 30 jours.
  • La minimisation des données : l’objectif est de réduire la quantité de données personnelles qui sont collectées et stockées, réduisant ainsi les risques qui pèsent sur celles-ci. Cette minimisation est réalisée selon 2 axes principaux :
    • Seules les données nécessaires aux finalités du traitement peuvent être collectées.
    • Une durée de conservation des données personnelles doit être déterminée, entrainant sa suppression ou anonymisation une fois cette durée atteinte.
  • La portabilité des données : De même que les opérateurs téléphoniques sont aujourd’hui contraints de permettre à un client de conserver son numéro en cas de résiliation de son contrat et de départ chez un concurrent, le GDPR impose désormais aux entreprises de mettre à disposition des personnes qui le demandent leurs données personnelles dans un format « structuré, couramment utilisé et lisible par machine ». Le texte va même plus loin en affirmant que la personne pourra demander à une entreprise de transférer directement ce fichier de données personnelles à une autre entreprise « lorsque cela est techniquement possible ».
  • La localisation des données : elles doivent être dans un pays qui possède une législation sur la protection des données personnelles, ce qui est le cas dans tous les pays de l’UE, et dans une liste précise de pays qui est disponible sur le site de la CNIL. En dehors de ces pays le stockage ou traitement des données personnelles doit être encadré par des règles juridiques contraignantes, éventuellement validées par la CNIL.

 Comment les entreprises doivent-elles s’y prendre ?

Pour se préparer à cette nouvelle réglementation, les entreprises peuvent s’appuyer sur la méthodologie de la CNIL qui repose sur 6 étapes. Mais avant, il est recommandé d’entreprendre un travail de sensibilisation interne qui a pour but d’identifier les différents acteurs et de les éclairer sur les enjeux du RGPD et sur les éventuelles actions à mettre en place.

Le dispositif d’accompagnement proposé par Mismo, comprend cette pré-étape.

  1. La première étape préconisée par la CNIL est de désigner un DPO (Data Protection Officer), qui a pour mission de piloter la mise en conformité, cette personne conduira également par la suite la gouvernance des données traitées par l’entreprise. Le DPO est désigné en interne, cette fonction peut être externalisé via une société de services spécialisée dans la protection des données.
  2. Etape 2, l’entreprise doit recenser les différents traitements des données qu’elle réalise pour l’ensemble de ses activités (commerciales, RH, juridiques, marketing…). Cette étape qui a pour but de cartographier les traitements doit être construite à l’aide d’une méthodologie, que Mismo peut vous soumettre dans son dispositif d’accompagnement au RGPD.
  3. L’étape 3 va permettre ensuite d’identifier les risques associés à ces traitements, avec notamment la réalisation d’une analyse d’impact quand les données identifiées obligent les entreprises à le faire;
  4. ce qui conduira à l’étape 4 avec la mise en œuvre d’un plan d’actions pour assurer la sécurité des données des individus concernés.
  5. En parallèle, l’entreprise devra également mettre en place des processus internes (étape 5) qui ont pour but de garantir la conformité des traitements avec le RGPD. On retrouvera entre autre la procédure dédiée à la gestion des incidents de sécurité.
  6. Et dernière étape (étape 6), pour chaque traitement de données, le règlement demande aux entreprises de fournir une documentation dans laquelle on retrouvera le registre qui décrit toutes les caractéristiques du traitement, l’analyse d’impact pour les données plus sensibles, les mentions d’informations destinées aux personnes dont les données sont collectées et traitées, ou les contrats conclus avec les prestataires définissant les rôles et les responsabilités de tous les acteurs. CNIL : se préparer en 6 étapes  

Attention aux sanctions :

Financières dans un premier temps. Les sanctions exercées depuis plusieurs années étant très peu dissuasives, surtout à l’encontre des grandes entreprises tels que Google, le législateur a durci le système de sanctions en augmentant drastiquement le montant des amendes en cas d’infraction. A compter du 25 mai prochain, elles pourront aller, selon les infractions, jusqu’à 20 millions d’euros du chiffre d’affaires ou jusqu’à à 4% du chiffre d’affaires global du groupe pour les grandes entreprises.

Des sanctions commerciales. Etre ou ne pas être RGPD, pourrait devenir un argument clé pour déjouer la concurrence. Dans une optique de différenciation, être conforme au RGPD peut devenir un gage de qualité et une marque de confiance dans une démarche commerciale vis-à-vis de ses clients.

Comme évoqué précédemment, Mismo peut vous accompagner et vous proposer un plan d’actions de protection des données, qui a pour but d’initialiser votre démarche RGPD. Pour en savoir plus, contactez- nous ! Nous vous recommandons également notre article « Les 10 points clés pour être prêt »