RGPD : la protection des données est un travail d’équipe

RGPD : La protection des données est un travail d’équipe

RGPD : la protection des données est un travail d’équipe

Comment appliquer le règlement général sur la protection des données (RGDP) de manière simple et efficace ? Comment éviter les erreurs ? Qui doit faire quoi, et à partir de quand ? Matthias Niehoff, expert en protection des données, se pose les principales questions sur cette nouvelle réglementation

Tout le monde parle du RGDP. Quelle est l’importance réelle de ce règlement ?

Le règlement sur la protection des données est très important. En effet, il concerne toutes les entreprises et organisations qui traitent de manière automatisée les données personnelles de personnes physiques résidant dans l’Union européenne. Et, à l’heure actuelle, quelle entreprise ne répond pas à ce critère ?

Que doivent faire les entreprises dans le cadre du RGPD ?

Tout abord, elles doivent déterminer où sont recueillies les données liées aux personnes. Les processus opérationnels doivent être documentés conformément à la loi et il faut établir sur quelle base juridique s’appuie la collecte de données, par exemple dans le cadre d’un consentement ou d’un contrat. Ensuite, il faut structurer en priorité, toujours conformément à la loi, les processus opérationnels présentant les plus grands risques pour les personnes physiques. Les droits des personnes concernées augmentent sensiblement, et dans le même temps les obligations déclaratives en cas de pertes de données sont incontestablement renforcées : tout problème lié aux données doit maintenant être déclaré dans un délai de 72 heures. Un délégué externe à la protection des données ou un conseiller en la matière ne peut pas assumer tout cela à lui-seul. Il est important que la direction de l’entreprise prenne toujours l’initiative et implique les membres du personnel appropriés dans la démarche. La protection des données est un travail d’équipe.

Qu’entend-on exactement par « données personnelles » ?

Il s’agit d’informations qui ont un rapport direct ou indirect avec des personnes physiques, par exemple : le nom, l’adresse, le numéro de téléphone, l’adresse e-mail, l’adresse IP. Il suffit que l’on puisse établir un lien avec un numéro d’employé, un numéro d’immatriculation ou un numéro de pièce d’identité.

Que faut-il prendre en considération lors du stockage de données et de documents ?

Le mode de stockage des données doit être documenté. Le principe de minimisation des données s’applique. Il faut se demander : existe-t-il une base juridique pour cela, traitons-nous seulement les données indispensables – et pas plus longtemps qu’il n’est permis de le faire ? Par exemple, les données sont-elles protégées de manière adéquate, pour que seules les personnes autorisées puissent y accéder ? Il faut parfois traiter plus de données pour satisfaire à l’obligation de preuve.

Que se passe-t-il si une entreprise ne respecte pas les dispositions du RGDP ?

A partir du 25 mai 2018, si l’on ne  peut pas prouver que le RGPD est appliqué, on est passible, en cas de situation grave, d’une amende pouvant atteindre 20 millions d’euros ou quatre pour cent du chiffre d’affaires de l’année précédente. Qui plus est, une telle amende peut s’étendre également à la responsabilité personnelle de la direction de l’entreprise, des chefs de service et du préposé à la protection des données.

Le RGDP s’applique-t-il également aux données anciennes ? Cela ne va-t-il pas exiger un effort énorme ?

Le RGDP a pour objet le traitement des données personnelles conformément à la loi. L’ancienneté de ces données est sans importance. Il convient de vérifier les points suivants : a-t-on une raison juridique valable de stocker ces données, par exemple lorsque l’on envoie un bulletin d’information par e-mail ? A-t-on une autorisation du destinataire qui réponde aux exigences du RGDP ? Un de nos clients avait des milliers d’enregistrements de données, mais il n’avait que pour dix pour cent environ d’autorisations valables et démontrables. Cet entrepreneur a dû procéder à une évaluation des risques et clarifier sa situation : va-t-il continuer à traiter les données sans base juridique, va-t-il demander une nouvelle autorisation aux personnes concernées ou va-t-il effacer ses données clients ? Si le traitement des données fait apparaître un risque élevé pour les droits et libertés d’une personne, il convient d’en minimiser les risques. Le délégué à la protection des données conseille le chef d’entreprise dans cette démarche.

Dans quelle mesure la réglementation s’applique-t-elle aux entreprises non européennes qui opèrent dans l’UE ?

En simplifiant : où que soit leur siège social, les entreprises doivent observer le RGDP dès qu’elles proposent dans l’UE des services aux personnes physiques, qu’elles observent leur comportement ou d’autres éléments similaires.

Vous avez déjà conseillé de nombreuses entreprises : pensez-vous que les entreprises soient prêtes à faire face au RGDP ?

Certaines entreprises certainement pas, mais d’autres, qui ont déjà traité avec succès le sujet de la protection des données par le passé, sont prêtes pour le RGDP. Cela leur facilite considérablement les choses aujourd’hui. Le RGDP est déjà connu depuis deux ans. Qui n’a pas encore commencé, doit se dépêcher !

RGPD : protéger efficacement vos données ? Cliquez pour plus d’information

matthias_niehoff

L’invité :

Matthias Niehoff,
Ingénieur Analyse Système

Parcours :

Matthias Niehoff est consultant en protection des données et délégué à la protection des données pour plusieurs entreprises et organismes au niveau international.

Crime 4.0 : crime numérique

La complexité croissante des technologies de l'information et de la communication posent des défis majeurs à la sécurité informatique sur le lieu de travail. Téléchargez notre étude sur la thématique.

2018-05-15T11:19:31+00:00