Small nick 01

Jérôme BENBIHI

RGPD : les actions à mettre en place après le 25 mai 2018 

 

onfaitquoiapresle25mai

L’objectif du Règlement Général sur la Protection des Données est d’offrir un cadre renforcé et harmonisé de la protection des données tenant compte des récentes évolutions technologiques (Big Data, objets connectés, Intelligence Artificielle) et des défis, voire questions, qui accompagnent ces évolutions. Afin d’assurer une protection optimale des données personnelles qu’elles traitent de manière continue, les entreprises sont obligées de mettre en place des mesures de protection appropriées et démontrer cette conformité à tout moment.

Après les actions de mise en conformité que vous avez établies dans votre entreprise, quel est le programme après le 25 mai ? Les entreprises ne respectant pas le RGPD seront passibles d’une sanction financière allant jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros. Donc, aussitôt que les principaux points de mise en conformité ont été traités en priorité, il faut continuer d’avancer sur les chantiers présentés dans votre planning. Par ailleurs, le règlement considère que la mission du DPO (délégué à la protection des données) est permanente. Elle s’inscrit dans une démarche d’amélioration continue. Il est indispensable de réorganiser vos processus interne en intégrant les obligations du RGPD dans chacun d’entre eux. Cela implique notamment :

  • de prendre en compte de la protection des données personnelles dès la conception d’une application ou d’un traitement (minimisation de la collecte de données au regard de la finalité, cookies, durée de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données, s’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données). Pour cela, appuyez-vous sur les conseils du délégué à la protection des données (DPO) ;

Appliquer le principe de minimisation permet d’exposer moins de données en ne collectant que les données réellement utiles et nécessaires dans le cadre de la finalité déclarée. Rappelons aussi l’importance de cartographier les données personnelles afin de pouvoir les identifier, les localiser et établir un registre pour s’assurer notamment qu’une personne a bien donné son consentement explicite pour chacune des données recueillies, que ses demandes de droit à l’effacement ou à l’oubli sont bien notifiées, ce qui inclut également toutes celles concernant son opposition au profilage, que la durée de conservation associée à chaque information est bien respectée…

  • de sensibiliser et d’organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs ;
  • de traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen) ;

Le droit à l’information, qui est aussi le droit au questionnement, doit également rester une préoccupation, dans une dynamique proactive. L’obligation d’effacement pose la question de la durée de conservation des données, qui dépend de leur nature et d’engagements contractuels ou de conditions générales.

  • d’anticiper les violations de données en prévoyant la notification à l’autorité de protection des données dans les 72 heures et, dans certains cas, aux personnes concernées dans les meilleurs délais.

Enfin, la mise en place des procédures de sécurité, de traçabilité constitue aussi un processus d’amélioration en continu. Il est donc préférable de procéder à des diagnostics ou audits de conformité de l’entreprise. En respectant le règlement, les entreprises vont pouvoir communiquer des atouts concurrentiels auprès de leurs clients, elles peuvent afficher une plus grande transparence envers les consommateurs et donc renforcer leur confiance. 

Article piblié sur LinkedIn 

Laissez un commentaire