Le règlement général sur la protection des données ou rgpd est entré en vigueur en France comme dans les autres pays de l’Union européenne le 25 mai 2018. Toutes les entreprises responsables de traitements de données à caractère personnel sont les plus concernées par la promulgation du rgpd mai 2018. Si vous êtes concerné et que vous n’êtes pas encore conforme avec la RGPD, il est grand temps d’agir.

Panorama sur ce que c’est vraiment le RGPD

Appelé aussi General Data Protection Regulation en anglais, le Règlement Général sur le Protection des Données ou RGPD est le nouveau cadre européen (remplaçant la directive sur la protection des données personnelles adoptée en 1995) qui concerne la manipulation et la circulation des données à caractère personnel. Concrètement, les données personnelles sont utilisées par les entreprises pour que celles-ci puissent proposer des services et des produits s’adaptant aux besoins des consommateurs. Par ailleurs, les données personnelles, selon le RGPD 2018, se définissent comme toute donnée se rapportant directement ou indirectement à une personne en particulier. Des données sensibles (origine raciale, orientation sexuelle, appartenance religieuse…) peuvent se figurer dans les données personnelles recueillies. Dès lors que l’une de ces données est manipulée par l’entreprise, celle-ci sera directement soumise à la loi rgpd. Pour aller plus loin, 3 éléments caractérisent le RGPD, en l’occurrence l’accès aux données qui est généralisé (droit d’accès, droit de portabilité, droit d’effacement), le consentement renforcé (l’entreprise ne pourra exploiter les données personnelles du consommateur à d’autres fins qu’après le consentement de celui-ci) et les nouvelles obligations en vigueur notamment la nomination d’un DPO (Data Protection Officier ou officier de protection de données) qui se chargera du bon respect de la règlementation applicable à la protection des données. Pour de plus amples détails concernant le RGPD, vous pouvez visiter www.dpms.eu.

Conseils pratiques pour se mettre en conformité avec le RGPD

Avant de passer à la première étape, c’est-à-dire la cartographie des données personnelles, vous devez d’abord sensibiliser toutes vos équipes. Le but est donc de les préparer en cas d’une problématique RGPD. Après, vous pouvez commencer par cartographier les données personnelles transitant au sein de la société (papier et numérique), c’est-à-dire de les rassembler via l’outil de cartographie comme le Cloud ou CRM (Customer Relationship Management) ou via une série d’entretiens avec les directions métiers de l’entreprise. Vous devez par ailleurs vous assurer que vous respectez bel et bien les droits des utilisateurs : consentement, droit d’accès, droit de rectification, droit à l’effacement, droit à la limitation du traitement, droit d’opposition, droit à la transparence et droit à la portabilité des données. La CNIL va aussi vous envoyer un fichier dans lequel vous devez préciser chaque donnée dont vous disposez et les moyens par lesquels vous l’avez obtenu. Une fois ce registre de traitements rempli, vous devez vous engager à évaluer la sensibilité des données récoltées ainsi que le niveau de risque lié à chaque traitement. Le but ici est de renforcer au maximum la sécurité des données sensibles traitées.

Mise en place d’un plan d’action pour se conformer avec le RGPD

Cette étape vous permet en effet de confronter votre situation actuelle avec les obligations du RGPD mai 2018. Dans votre plan d’action, il convient de lister toutes les actions en les classant par ordre de priorité, de procéder à l’évaluation des niveaux de complexité ainsi que l’impact de chaque action, de définir les dates où vous comptez mettre en œuvre votre plan d’action, d’identifier les acteurs concernés pour chaque action. Pour vous faciliter la tâche, vous pouvez opter pour Excel pour l’élaboration de ce plan ou aussi d’opter pour un outil de pilotage de mise en conformité. Une fois le plan d’action mis en place, il ne vous reste plus qu’à l’appliquer pour garantir votre conformité avec le RGPD. Ainsi, plusieurs acteurs entrent directement en jeux : GPO, expertise-conseil, avocat…