RGPD: Prêt pour le 25 Mai prochain ?

A cette date, chaque entreprise, petite ou grande, chaque association ou Collectivité publique est censée avoir mis en place un dispositif satisfaisant aux exigences du Règlement Général de Protection des Données (Règlement européen applicable à partir du 25 Mai 2016). Pour les entreprises qui se sont prêtées à l’exercice, tout va bien.

Pour les autres …… quelques observations.

Tout d’abord, le RGPD concerne exclusivement la protection des données « personnelles » qui pourraient être collectées, stockées, utilisées, communiquées à des tiers, de façon générale soumises à toutes formes d’usages dans le contexte de l’activité de l’entreprise. La notion de donnée personnelle est elle-même assez large : identité, informations sur le domicile, les moyens de communication, les habitudes de consommation, les finances, la santé, les opinions ……
Le RGPD est protecteur pour les particuliers, il sera une source de préoccupation pour l’entreprise et ses éventuels sous-traitants qui auront du mal à trier dans la masse des informations brassées quotidiennement celles qui sont à protéger et les autres. Il ne faut pas paniquer, la mise en place du RGPD fait appel à une obligation de moyens plutôt que de résultats.

Quelques principes à respecter :
Quoi, qui, pourquoi : Identifier formellement les données (constitution d’un registre détaillé), leur traitement, en évitant de collecter des données non-nécessaires, en justifier la collecte, fixer la durée du stockage, tracer les flux de données, mais surtout, assurer la transparence des processus vis-à-vis du propriétaire de la donnée, et enregistrer son consentement pour cette collecte.
Le DPO. Définir un responsable ou correspondant dans l’entreprise pour chaque type de données, et si le volume de données traitées est important ou les données sensibles, nommer un DPO (Data Protection Officer) en interne ou mutualisé avec d’autres entreprises.
la sécurité informatique. De multiples problèmes de sécurité informatique ont souvent conduit à la dissémination de données personnelles, le RGPD impose de prendre les mesures adéquates pour prévenir ce risque.
La portabilité et la récupération des données À l’instar des services bancaires et de téléphonie mobile, le propriétaire de la donnée doit pouvoir revenir sur le consentement donné et réclamer l’effacement total des enregistrements.
Un bon partenariat avec la CNIL ( https://www.cnil.fr ) et une veille des meilleures pratiques sont une base solide pour mettre en place le RGPD. Le cas échéant, une prestation de service par un expert extérieur peut permettre d’avancer plus vite.
Il s’agit donc d’initier sérieusement une démarche itérative sur le modèle d’une certification qualité : audit/priorisation/implémentation, qui pourra déboucher sur l’obtention d’un label, potentiellement un avantage concurrentiel pour l’entreprise titulaire.

Contact

CEO
ZI en JACCA
29 Chemin de la Nasque
31770 COLOMIERS
Tel: 05 61 49 82 39

Le Mémo du CEO

Tenez-vous au courant de nos dernières actualités !

S'abonner à flux Le Mémo du CEO
Nos partenaires