.png)
4 minutes de lecture
Êtes-vous conforme au RGPD ? Plus de deux ans après la mise en œuvre du RGPD, de nombreuses entreprises tardent à intégrer ces nouvelles exigences en matière de protection des données dans leurs projets.
Conformité au RGPD : Qu'est-ce qu'une donnée personnelle ?
Les données personnelles sont un ensemble très large de données qui, individuellement ou combinées, peuvent isoler une personne d'un groupe**. Elles sont présentes dans tous vos systèmes d'information et comprennent :
- les coordonnées (nom, prénom, adresse postale ou électronique, numéro de téléphone)
- les données ayant un fort impact sur la vie privée (données RH, données de géolocalisation)
- les données sensibles (état de santé, opinions politiques ou religieuses, orientation sexuelle, numéro de sécurité sociale)
Nomination d'un DPD pour garantir la conformité au RGPD
La conformité RGPD concerne tous vos services et activités dès lors que des données personnelles sont traitées. Pour plus d'efficacité, ce projet doit être coordonné par une personne responsable.
Dans certains cas, la nomination d'une fonction dédiée, un délégué à la protection des données (DPD), est même obligatoire. C'est le cas, par exemple, pour les collectivités locales ou pour certaines entreprises technologiques.
Identifier les opérations de traitement des données soumises au RGPD.
Avez-vous fait l'inventaire de vos bases de données ?
Vous devez donc créer un registre décrivant les traitements de données effectués. Chaque registre centralise les principales caractéristiques de chaque traitement : Quelles données sont traitées ? A quelles fins ? Qui est le destinataire des données ? Combien de temps sont-elles conservées ? Etc.
Cet inventaire vous permettra d'évaluer les risques de mise en conformité avec le RGPD. Vous serez alors en mesure de prioriser vos efforts sur les projets les plus sensibles.
Avec le RGPD, obtenez plus de transparence et de consentement
Vous traitez probablement les données de prospects, clients, fournisseurs, employés ou partenaires.
Plus encore qu'auparavant, vous devrez faire preuve de transparence quant à la manière dont les données sont traitées. Cela vous amènera à créer divers supports d'information et à revoir ceux qui existent déjà, par exemple :
- politique de confidentialité sur un site web
- informations au bas des formulaires de collecte de données
- avis d'information aux employés
Vous devrez également revoir votre expérience utilisateur pour vous assurer que le consentement est obtenu. Cela peut se faire de différentes manières :
- cocher des cases sur les formulaires pour autoriser les opérations de prospection
- oral solicitation of consent by customer advisors
- interface de demande de consentement pour le dépôt de cookies
Si vous traitez des données sensibles, vous devrez également recueillir un consentement spécifique.
Responsabilité et protection de la vie privée dès la conception, les concepts clés de la conformité au RGPD.
Le RGPD impose actuellement une conformité globale du traitement des données. Il repose sur trois concepts clés :
- Responsabilité: Restriction d'accès, limitation des champs et des finalités des données, purges automatiques, etc. Mettre en œuvre dans vos outils les mesures adéquates en matière de protection et de sécurité des données.
- Le respect de la vie privée dès la conception: Intégrez ces mesures le plus tôt possible, dès la phase de conception de vos nouveaux projets ou lorsque vous apportez des modifications structurelles à vos outils. Cela vous aidera à maîtriser vos coûts et votre calendrier.
- La confidentialité par défaut: Ne collectez pas de données inutiles. Limitez les champs de collecte de vos formulaires, paramétrez correctement vos outils afin de ne pas collecter plus que nécessaire.
Vos projets les plus structurants doivent faire l'objet d'une analyse d'impact sur la protection des données (AIPD). Celle-ci vous permettra de déterminer plus précisément les mesures à intégrer dans le projet.
Vérifiez la conformité des fournisseurs au RGPD
- Votre entreprise est responsable des traitements de données effectués en interne par vos employés mais aussi en externe par vos fournisseurs et sous-traitants.
Vous devez donc :
- vérifier leur adhésion au RGPD
- signer des accords supplémentaires pour assurer la protection des données à caractère personnel
- signer des accords spécifiques en cas de transfert de données en dehors de l'Union européenne (par exemple, si le sous-traitant est basé au Maroc ou transfère des données à sa société mère aux États-Unis).
Prendre en charge vos droits en matière de RGPD
Les personnes dont vous traitez les données peuvent vous demander, entre autres, ce qui suit :
- pour leur communiquer les données que vous avez
- de les rectifier ou de les supprimer
- de cesser le traitement de leurs données, par exemple en se désinscrivant des newsletters ou des bases de données de prospection.
Le traitement de ces demandes doit concerner toutes les bases de données stockant des données. C'est pourquoi un plan de conformité RGPD nécessite l'élaboration de procédures décrivant les étapes à suivre pour chaque type de demande. Un traitement correct des demandes est essentiel pour éviter que la CNIL (Commission nationale de l'informatique et des libertés) soit saisie de plaintes contre votre entreprise.
La sécurité informatique, un pilier de la conformité au RGPD
Il est important de garantir la sécurité des bases de données, en particulier celles qui contiennent des données personnelles. Par conséquent, vous devrez établir un plan avec des mesures appropriées pour chaque couche informatique de votre infrastructure. La sécurité informatique est le fondement de votre conformité au RGPD.
L'une de vos bases de données a été piratée ? Un employé a envoyé un fichier de données par e-mail par erreur ? Les devis et factures de vos clients sont accessibles en ligne ? Toutes ces violations de données doivent être notifiées à la CNIL dans les 72 heures. Cela nécessite une autre procédure couvrant la détection de la violation, la minimisation des dommages et la notification. Vous devrez peut-être aussi informer les personnes concernées par la violation.
Obtenez les outils dont vous avez besoin pour vous conformer au RGPD
Le RGPD applique une réglementation cohérente. L'intégration de ces exigences dans vos activités nécessitera un effort soutenu qui devra être porté par le sponsor interne avec l'approbation des services concernés.
Vous pouvez vous appuyer sur de nombreuses ressources, comme la reconnaissance du langage naturel, et sur des outils permettant d'automatiser certaines tâches répétitives. Cela permettra d'alléger la tâche de votre délégué à la protection des données et de vos équipes métiers, tout en assurant une meilleure optimisation de votre conformité RGPD.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.
.png)
