Rappel sur la mise en conformité RGDP
Le RGDP ou le règlement général sur la protection des données vise à instaurer des règles autour de la protection des données à caractère personnel. Sa mise en conformité auprès des petites et des grandes entreprises nécessite la mise en œuvre de quatre actions principales.
La constitution d’un registre de traitement des données : la réalisation de ce document permet d’obtenir une vue d’ensemble sur les activités principales de l’entreprise en matière de traitement de données. Le registre contient notamment la désignation de la collecte de données, les différentes catégories de données personnelles utilisées, les personnes qui ont accès aux données personnelles et la durée de conservation de ces données. Le registre est essentiel pour maîtriser la gestion des données.
La réalisation du tri dans les données : chaque fiche de registre permet de déterminer les données indispensables à l’entreprise. En effet, les données qu’une entreprise collecte doivent être nécessaires à ses activités. Ainsi, il est inutile de conserver les données lorsqu’elles ne sont plus utiles aux activités de l’entreprise.
Le respect des droits des personnes : pour la sécurité des données, il est important d’informer les personnes sur les données collectées les concernant. Pour cela, des éléments d’information doivent apparaître sur les formulaires pour collecter les données personnelles. Certaines mentions comme la finalité des données collectées et le temps de conservation de ces données sont notamment nécessaires.
Comment être en conformité ?
L’application du nouveau règlement sur le traitement des opérations de traitement des données concerne différents services au sein de l’entreprise. Elle touche notamment l’organisation générale de l’entreprise en passant par le département des systèmes d’information, la relation client et les ressources humaines. De ce fait, la mise en conformité nécessite beaucoup de temps et de ressources. Toutefois, chaque entreprise a désormais l’obligation d’assurer une protection optimale des données qu’elle collecte. Pour éviter les amendes et se mettre en conformité avec la RGDP, quelques étapes sont essentielles.
Choisir un délégué à la protection des données (DPO): premier responsable du traitement et de la gestion des données personnelles, le DPO assure l’inventaire et le contrôle concernant les données personnelles. Dans les petites entreprises, le DPO peut être le gérant même de l’entreprise ou encore l’un des employés à condition de ne pas confondre les fonctions. Pour assurer la mise en conformité des petites entreprises, vous pouvez obtenir plus d’informations ici. Toutefois, il est obligatoire de désigner un DPO lorsque l’entreprise traite des données personnelles à grande échelle. Pour cela, l’externalisation est conseillée. Le DPO désigné ne pas doit pas avoir de rapport avec l’entreprise.
Etablir un registre de traitement des données personnelles : recenser les données permet de faire le point sur les données utiles et celles qui ne le sont plus pour l’entreprise. Les actions à mener reposent ainsi sur ce registre.
Prouver la conformité à l’aide de documents : chaque documentation est nécessaire pour assurer une traçabilité de chaque donnée collectée. En effet, la protection des données doit être réalisée en continu.
Quelles sont les rôles de la CNIL ?
Après la mise en vigueur du RGDP en 2018, l’Etat a fait preuve de tolérance face à la non-conformité des TPE et des PME et la violation des données personnelles. L’autorité française représentée par la CNIL a notamment mise en place une mesure d’accompagnement afin de guider les entreprises à appliquer le RGDP dans leur organisation. C’est 1 an après la mise en vigueur du RGDP que la CNIL décide de faire respecter le règlement européen. A ce titre, le géant Google a du payé une amende de 50 millions d’euros en début d’année. En effet, le non respect du RGDP donne lieu à des sanctions financières sévères qui vont jusqu’à 4% du chiffre d’affaires annuel de l’entreprise. C’est pourquoi la CNIL a établit un guide pratique pour accompagner les entreprises à atteindre la conformité au RGDP. Quant aux sous-traitants et aux prestataires, ils sont soumis à des obligations particulières en matière de sécurité des données. La tenue d’un registre des traitements doit être systématique. En outre, le conseil des responsables de traitement et la désignation d’un DPO sont également des pratiques obligatoires.