Le Règlement Général de Protection des Données Personnelles (RGPD) est une loi Européenne qui vise à protéger les données personnelles des personnes physiques dans l’Union Européenne. Il entrera en vigueur le 25 mai 2018. Qui est concerné ? Quelles dispositions devez-vous prendre pour être considéré comme conforme par l’Union Européenne ?

Qui est concerné ?

A partir du moment où votre entreprise stocke des données personnelles de citoyens européens, elle est concernée par cette réglementation ! Peu importe où est situé son siège social ou si elle cible des clients BtoB ou BtoC : la loi s’applique dans ces 2 cas !

En toute logique, les entreprises BtoC sont davantage concernées que les entreprises BtoB. Néanmoins, il ne faut pas négliger l’impact de ce règlement pour ces-dernières. Pour preuve, voici le témoignage du Data Protection Officer d’Airbus Helicopter qui consacre 40% de son temps à la mise en conformité au RGPD –> http://bit.ly/2ygC8hu

De quelles données parle-t-on ?

Tout naturellement vous pensez aux coordonnées clients, prospects, fournisseurs ou encore les fichiers salariés. Mais sont concernées également les données brutes comme l’historique de navigation ou des « likes » ainsi que les conclusions que l’on peut en déduire comme les préférences et attentes des utilisateurs. Dans tous les cas, il s’agit d’une donnée qui permet d’identifier une personne (ici un citoyen européen).

3 points majeurs à mettre en place

Consentement au traitement

L’entreprise doit obtenir le consentement de la personne concernée si elle est âgée d’au moins 16 ans ou le consentement du titulaire de la responsabilité de la personne si l’âge est inférieur à 16 ans.

Le consentement de la personne concernée doit être explicite, c’est-à-dire que le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait.

Contraintes techniques “Privacy and security by Design”

L’objectif ici est de garantir la sécurité des données à caractère personnel par la mise en place de mesures telles que :

• La pseudonymisation : segmenter les données d’une même personne sur plusieurs bases de données (ex : ses coordonnées sur une BDD, son historique de commandes sur une autre).
• Le chiffrement des données
• Le contrôle des accès : restriction à quelques personnes et contrôles réguliers

Responsable du traitement

Il doit fournir un accès aux informations suivantes :

•    identité et coordonnées du responsable ou du représentant du traitement
•    coordonnées du délégué à la protection des données
•    les finalités et la base juridique du traitement
•    les destinataires du traitement
•    la durée de conservation
•    l’existence d’une prise de décision automatisée

Il alerte en cas de compromission des données dans les 72 heures.  A noter : les sous-traitants sont considérés comme co-responsables.

Plan d’actions concret

Pour assurer votre mise en conformité face au GRPD, voici les premières étapes à suivre :

• Identifier les données que vous détenez ainsi que leur lieu de stockage
• Identifier les salariés qui possèdent les droits d’accès aux données et les raisons qui le justifient
• Evaluer le protocole de surveillance et de contrôle de l’accès aux données
• Mesurer le niveau de sécurité d’accès aux données

Pour aller plus loin, reportez-vous au document publié par la CNIL : http://bit.ly/2naxsH1

Vous l’aurez compris, la mise en conformité au RGPD imposée par la CNIL nécessite une mise à plat de la gestion de vos données au sein de votre entreprise. Face à ce travail titanesque, il est essentiel de vous y préparer dès maintenant pour être fin prêt pour Mai 2018 !