Comment mettre en place le RGPD pour une meilleure protection des données ?
Les quatre lettres RGPD doivent être connues de toute entreprise ou collectivité qui collecte et utilise des données personnelles. Autrement-dit : toutes les structures !
Le Règlement Général sur la Protection des Données est mis en oeuvre en Europe pour régir la protection des données personnelles.
A noter que le RGPD est en vigueur depuis mai 2016 ! En principe, il doit déjà être appliqué !
Mais pourquoi en parle-t-on tant ?
Simplement car en mai 2018, ce sont les sanctions qui sont applicables.
Dans le règlement de 88 pages, certains éléments sont à faire ressortir pour les entreprises collectant et utilisant des données :
- Dans les informations à communiquer auprès des individus devront clairement apparaître :
- la durée de conservation,
- la transmission de données et
- tous les droits de contrôle et d’accès (comme le demande déjà la CNIL)
- Le traitement des données à caractère personnel doit être adapté, pertinent et limité au strict nécessaire requis par leurs traitements.
- La durée d’archivage des données à caractère personnel est limitée au strict minimum.
- Les données à caractère personnel seront exactes et à jour.
- Les données à caractère personnel seront protégées contre tout accès non autorisé, traitement illégal et pertes. Dans ce cas précis, le règlement mentionne l’utilisation de pseudonymes et de cryptage des données.
- En cas de violation de données à caractère personnel par un tiers, l’entreprise doit avertir l’autorité de surveillance dans les 72 heures et avertir l’ensemble des personnes concernées (communication publique).
- Tant les entreprises que leur sous-traitants devront se conformer à ces obligations et pourront être tenus responsables en cas de violation des données, ou non-respect du RGPD.
- Certaines entreprises (et toutes les collectivités) devront avoir (ou faire appel à un prestataire externe) un Délégué à la Protection des Données (le remplaçant du CIL)
Guide du RGPD pour les entreprises marketing... mais applicable aussi aux services marketing (source : IT Governance)
Dès mai 2018, des sanctions pécuniaires d’un montant de 2% à 4% du chiffre d’affaires mondial seront mises en oeuvre.
Petit rappel visuel (infographie Symantec)
En résumé, la mise en place du respect de la RGPD peut se dérouler en plusieurs étapes :
- Informer, sensibiliser les équipes de direction (et les élus pour une collectivité)
- Vérifier l’état des données et de la documentation (si existante)
- Revoir ses mentions légales (et protection des données)
- S’assurer que les droits des utilisateurs sont respectés (consentement, désabonnement, rectification)
- Mettre en place une procédure de management des risques ainsi qu’une AIPD (Analyse d’Impact relative à la Protection des Données) en interne et avec ses fournisseurs
- Nommer un Délégué à la Protection des Données (selon les cas obligatoires, notamment pour les collectivités)
- Informer et éduquer vos employés, en particulier les services marketing, communication et commerciaux.
Rakotomanarivo Christine
Ce message est pour Kévin : très, très bonne année et plein de projets pour toi et ton équipe .
8 janvier 2018Quant au RGPD, mon petit doigt me dit que bientôt nous aurons l’occasion d’en reparler…:), parole de CIL/DPO!