Définition du RGPD
Le règlement européen sur la protection des données personnelles (RGPD) est entré en vigueur le 25 mai 2018.
Toutes les informations permettant d’identifier directement ou indirectement un individu sont considérées comme des données à caractère personnel (DCP).
Il existe plusieurs degrés de sensibilité de ces données personnels. Les données à caractère personnel sensibles, par exemple, présentent des informations permettant de connaître l’individu (casier judiciaire, opinions politiques ou religieuses, données relatives à la santé…). Ces données nécessitent une protection accrue d’après le RGPD.
Ce règlement vise à compléter la loi “Informatique et Libertés” qui donnait des directives quant à la manière de récolter, traiter et conserver des données personnels. Il met en valeur plusieurs grands principes qui sont la transparence, la sécurité et l’accès aux données.
Finalité de la protection des données à caractère personnel ?
La protection des DPC vise à (faire) respecter le droit à la vie privée de chaque personne. Le RGPD donne les moyens à chaque individu d’avoir accès à ses données et d’en avoir le contrôle. Chaque personne doit être en mesure de modifier ses données et de demander la suppression de son compte. Il pourra se défendre plus facilement en justice lorsqu’il estime qu’une entreprise a utilisé abusivement de ses données personnelles.
Les entreprises sont conviées à traiter et conserver les données uniquement par rapport à une prestation et doivent garantir l’intégrité et la confidentialité des données.
Transparence sur la manière dont sont collectés et traités les données personnelles
L’idée est d’expliquer en quoi avez-vous besoin de ces données. Si vous êtes une société e-commerce, alors vous devez expliquer que les données sont utilisés exclusivement pour l’envoi de marchandise et pour assurer le bon déroulement d’une commande. Rassurez également vos clients en expliquant comment sont sécurisés leurs données sur une page dédiée (attention cependant à ne pas dévoiler trop d’informations sur votre système d’information).
Droit à l’accès et à la récupération des informations
Vos clients doivent pouvoir avoir accès à leurs données personnelles. Cela peut se traduire par l’interface d’un compte client sur un site commercial par exemple. Le client devra également pouvoir récupérer ses informations dans un fichier exploitable(notamment s’il veut pouvoir changer de prestataire facilement).
Obligation de tenir un registre des traitement des données
La conformité avec le RGPD se démontre par l’obligation de tenir un registre que la CNIL peut demander en cas de contrôle. Ce registre permettra de tenir à jour une base des données des traitements. Il pourra également servir à l’entreprise pour suivre sa mise en conformité avec le règlement européen des DCP.
Encadrement des sous-traitants
Vos prestataires doivent également veiller à ne perdre aucune information concernant vos clients. Si un fichier client se fait voler chez votre sous-traitant, vous y serez tenu responsable. Vous pouvez demander le registre des traitements de données à votre prestataire afin de veiller à ce qu’il soit bien en conformité avec le RGPD.
Prévenir la CNIL en cas de viol des données dans les 72h et les personnes titulaires des données à caractère personnel
Il s’agit ici de prévenir une autorité ainsi que vos clients qui vous ont fait confiance. Vous leurs devez la vérité. Prévenez-les alors que leurs données ont été volées. Ils pourront être compréhensifs notamment sur un site e-commerce si les coordonnées bancaires ont été volées. Prévenez-les au plus tôt, ils pourront faire opposition sur leur carte bancaire au plus vite.
Délégué à la protection des données (DPO)
Certaines entreprises seront dans l’obligation de nommer un DPO (Délégué à la protection des données) qui devra veiller à la conformité des traitements des données à caractère personnel à le RGPD. Il doit être nommé avant date d’application du règlement européen, soit le 25 mai 2018. Les entreprises concernées sont surtout celles qui traitent et conservent des données personnels sensibles ou les autorité ou organisme publique. Le DPO peut être externe à l’entreprise.
III – Où puis-je me former à le RGPD ?
Je souhaite vous informer certains sites qui pourraient vous être d’une grande utilité dans votre projet de mise en conformité à le RGPD.
Le MEDEF a créé son outil diagnostic destiné aux entreprises. L’outil accompagnera votre entreprise dans son projet de mise en conformité de la protection des données à caractère personnel. Lien : Protection des données – MEDEF
Vous trouverez ci-joint le texte officiel de la loi RGPD du parlement et conseil européen. Vous y trouverez ainsi toutes les informations concernant la protection des données personnelles. Règlement européen officiel
Enfin, En ce qui concerne la formation à proprement parler, vous pouvez trouver des prestataires sur internet qui pourront vous proposer des formations, des devis et des audits pour vous mettre en conformité avec la loi RGPD.
Que faut-il conclure sur le RGPD ?
Ainsi, n’attendez plus pour vous mettre en conformité avec le règlement européen qui est le RGPD. Les entreprises qui ne respectent pas les principes de la protection des données à caractère personnel risquent une amende comprise entre 2 et 4% du chiffre d’affaire mondial. Vous devez alors sécuriser les données de vos clients à tout prix et ne pas les exploiter sans leurs autorisations.
N’hésitez pas à me contacter par commentaire ou bien directement par la page contact. Je répondrai à toutes vos interrogations.
