RGPD : comment se préparer au mieux ?

Le 25 mai 2018, le RGPD (Règlement général sur la protection des données) renforcera la protection des données individuelles, impliquant une mise en conformité pour les entreprises. Cogedis vous aide à anticiper cette nouvelle donne.

Le RGPD, qu’est-ce que c’est ?

Le RGPD, ou règlement général de protection des données, remplace la Directive sur la protection des données personnelles (adoptée en 1995) et constitue le nouveau texte européen de référence en la matière.

Ce règlement concerne l’ensemble des données personnelles qu’un organisme peut collecter, quelque soit le support.

Les objectifs du RGPD

Ce règlement, applicable dans les 28 pays de l’Union Européenne dès le 25 mai 2018, suit trois objectifs principaux :

  • Un renforcement des droits des individus, avec la création notamment d’une portabilité des données personnelles
  • Une plus grande responsabilisation des acteurs traitant des données, avec notamment l’instauration d’un régime de co-responsabilité des sous-traitants
  • Une régulation crédibilisée avec une coopération renforcée entre les autorités de protection des données, dans le cas de traitements transnationaux de données par exemple

Professionnels, qu’est-ce que le RGPD change pour vous ?

Le RGPD amène de nombreux changements pour les entreprises. Il change notamment le rapport à l’autorité de référence en matière de protection des données, la CNIL.  Celle-ci a d’ailleurs publié un dossier de référence sur le sujet.

Parmi les nouveautés introduites par ce règlement, l’obligation de désigner un Délégué à la protection des données ou DPO (Data Protection Officer). Les organismes concernés par cette obligation sont :

  • Les autorités et organismes publics (ministères, collectivités territoriales, établissements publics)
  • Les organismes amenés à réaliser un suivi régulier et systématique des individus à grande échelle. (compagnies d’assurance, banques, opérateurs téléphoniques, etc.)
  • Les organismes amenées à traiter à grande échelle des données dites « sensibles » (biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale) ou relatives à des condamnations pénales et infractions.
Pour les autres, la désignation d’un délégué n’est pas obligatoire, mais recommandée par la CNIL.

A noter : avec l’entrée en vigueur de ce règlement, la loi Informatique et Libertés sera modifiée afin de permettre la transposition en droit français des éléments du RGPD.

Comment anticiper l’entrée en vigueur du RGPD ?

Pour vous préparer au mieux à l’entrée en application de ce règlement, vous pouvez mettre en place des actions visant à mettre votre entreprise en conformité :

Désignez un DPO :

Le délégué à la protection des données désigné au sein de votre société pourra vous aider à comprendre et mettre en oeuvre les obligations introduites par le RGPD, dialoguer avec les autorités compétentes et réduire les risques de contentieux et donc de sanctions financières (pouvant aller jusqu’à 4% de votre CA annuel pour les manquements les plus graves)

Préparez votre documentation sur les process de traitements de données :
Le RGPD oblige les organismes à tenir une documentation interne complète sur leur traitements des données personnelles, ainsi que sur la conformité de ces procédures avec la législation européenne. Ce recensement comprend le type de données collectées, les objectifs de collecte et de traitements, les différents process de traitements, etc.

Mettez en place des procédures internes :
Organisez vos processus en interne pour anticiper les questions relatives à la protection des données, les remontées des utilisateurs. Il est essentiel, si vous développez une application ou une solution informatique impliquant de la collecte de données, d’anticiper ces questions dès la conception des outils concernés.

Mettez en place une étude d’impact ou PIA (Privacy Impact Assessment) :
Vous pourrez ainsi anticiper les risques liés à la collecte et au traitement des données personnelles. L’étude doit être réalisée avant toute collecte ou traitement de données ou sur les traitements de données à risque.

Envie d’en savoir plus ? Consultez le site de nos experts Altéor Conseil et Juridique