Blog

Règlement Général sur la Protection des Données, que dit le texte ?

Selon une étude publiée dernièrement par la société de sécurité informatique Symantec, 92% des dirigeants d'entreprise et décideurs français interrogés s’inquièteraient de ne pas être en conformité avec la nouvelle réglementation qui entre en vigueur le 25 mai 2018.

C'est quoi le RGPD et qu'en attendre ?

Le RGPD (Règlement Général sur la Protection des Données) est un texte qui regroupe un ensemble de principes et règles votés le 27 avril 2016 par le Parlement européen. Compte tenu de l'évolution rapide des nouvelles technologies et de l'essor du Big Data, l'objectif du texte est de renforcer la protection des individus en veillant à ce que le traitement des données à caractère personnel soit mieux encadré par les entreprises. Il s'agira pour la chaîne d'acteurs, du responsable de traitement des flux aux partenaires commerciaux, en passant par les sous-traitants fournisseurs de services, de mettre en place un dispositif qui permette à l'économie numérique de se développer tout en assurant aux usagers le respect de leur vie privée et familiale, l'opposition pour toute opération marketing, le droit à l'oubli (effacement d'informations) ainsi qu'à la portabilité des données. Si cette mesure s'adresse au prime abord aux entreprises privées et publiques européennes, elle concerne également tous les grands groupes ou structures étrangères dont l'offre de biens ou de services touche le marché européen. Ils seront tous assujettis aux nouvelles normes.
Toute exploitation des données privées d'une personne devra au préalable bénéficier de l'accord de la personne concernée. Le consentement devra être donné par un acte positif clair dans lequel cette dernière manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité. Lorsque le traitement a plusieurs finalités, le consentement devra être donné pour l'ensemble d'entre elles. Et pour garantir que le consentement est donné librement, le responsable du traitement devra être en mesure de prouver que ladite personne a bien consenti à la demande.

Voies de recours et sanctions

En cas de non respect des directives ou dans la mesure où un usager considère que le traitement de données à caractère personnel le concernant constitue une violation du présent règlement, il lui est donné le droit d'introduire une réclamation auprès d'un organisme de contrôle ou d'une autorité judiciaire. Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du RGPD a le droit d'obtenir de l'entreprise une réparation du préjudice subi.
Des autorités de contrôle veilleront à la mise en oeuvre du texte et imposeront des amendes selon la nature, la gravité, la durée, la négligence ou le caractère délibéré de la violation observée. En fonction des infractions le montant des astreintes serait de l'ordre de 10 à 20 millions d'euros ou représeter 2 à 4% du chiffre d'affaire d'une entreprise.

Se préparer en six étapes

Pour se mettre en conformité avec le nouveau règlement européen pour la protection des données, la Commission Nationale de l'Informatique et des Libertés (CNIL) recommande aux entreprise la mise en place d'un certain nombre de mesures préventives:

  • Designer un pilote. Celui-ci exercera une mission d'information, de conseil et de contrôle en interne du dispositif. Il permettra d'organiser les actions à mener avant l'échéance.
  • Cartographietr les actions à mener. Pour être en capacité de mesurer l’impact du règlement sur ses activités et de répondre à cette exigence, l'entreprise devra au préalable recenser précisément les flux en indiquant l'origine et la destination.
  • Prioriser les actions à mener. L'entreprise devra s'assurer que seules les données strictement nécessaires à la poursuite de ses objectifs sont collectées et traitées.
  • Gérer les risques. L’enjeu est d’apprécier les risques sur la protection des données du point de vue des personnes concernées.
  • Organiser les processus internes. Sensibiliser et organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès des collaborateurs.
  • Documenter la conformité. Pour prouver sa conformité au règlement, les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement au sein de l'entreprise pour assurer une protection des données en continu.

À titre indicatif, Integraphone, prestataire de services informatiques, propose des solutions, assiste et accompagne les entreprises dans leur processus de transformation numérique.

Sylvestre Samb
Chargé de Communication & Marketing │ Integraphone

 


+33 (0)9 70 75 52 52

Newsletter