Entré en application le 25 mai 2018, le règlement général sur la protection des données (RGPD) est sur toutes les lèvres. Pourtant, un flou persiste autour de cette obligation légale.
De quoi parle-t-on exactement ?
Qui est concerné ?
Comment implémenter le RGPD en entreprise pour la mettre en conformité ?
Le RGPD est un texte réglementaire visant à encadrer le traitement des données personnelles sur le territoire européen. Il repose sur des principes de finalité, de pertinence, de durée de conservation, de sécurité, de confidentialité et de droits des personnes.
Gardienne de leur mise en œuvre, la Commission nationale de l’informatique et des libertés (CNIL) qualifie de donnée personnelle « toute information se rapportant à une personne physique identifiée ou identifiable » : nom, prénom, adresse IP, etc.
Concrètement, le RGPD s’articule autour de 3 objectifs :
Le RGPD concerne toutes les organisations publiques ou privées et s’applique à la fois aux supports imprimés et numériques.
À lire aussi : Digitalisation des entreprises : comment procéder ?
Plusieurs actions jalonnent le processus de mise en conformité RGPD.
Le registre des activités de traitement permet de documenter le respect du RGPD. Les entreprises de moins de 250 salariés peuvent se contenter d’y inclure les traitements non occasionnels, ceux présentant un risque pour les droits et les libertés ou concernant des données sensibles.
Les informations non essentielles ne doivent pas être conservées. L’idéal étant dès le départ de collecter uniquement les données nécessaires à l’objectif poursuivi par l’entreprise (principe de privacy by design).
Le recueil de données nécessite un consentement préalable. À ce titre, les personnes concernées doivent en connaître la finalité et pouvoir exercer leurs droits d’accès, de rectification, d’interrogation, de portabilité ou d’opposition.
Le RGPD impose des mesures techniques et opérationnelles adaptées au risque numérique : politique de sauvegarde et d’archivage, chiffrement des données, cryptages des échanges, etc.
À lire aussi : Cybersécurité en entreprise : les bonnes pratiques à mettre en place
Des obligations incombent aux entreprises qui collectent, traitent et stockent des données.
Dans un contexte de cybercriminalité, le RGPD nécessite une sécurisation optimale des locaux et des systèmes d’information pour éviter la divulgation des données à des tiers non autorisés.
Les supports permettant la récolte de données doivent indiquer l’identité du responsable de fichier, l’objectif de la collecte, la durée de conservation, le destinataire final ainsi que les modalités d’exercice des droits.
L’analyse d’impact relative à la protection des données (AIPD) s’applique à tout traitement d’informations entraînant un risque pour les droits et les libertés des personnes : dossier médical, algorithme destiné à faciliter le recrutement, etc.
Le responsable de traitement est la première personne chargée de faire respecter le RGPD au sein de l’entreprise. Il s’agit le plus souvent d’une personne morale, incarnée par le représentant légal.
Certaines activités exigent la désignation d’un délégué à la protection des données (DPD), notamment si l’entreprise réalise des traitements :
Dès lors, le DPD veille à ce que le responsable du traitement, ses collaborateurs et ses sous-traitants respectent leurs obligations RGPD. Il devient l’interlocuteur principal et coopère au besoin avec l’autorité de contrôle.
En cas de violation des obligations RGPD, sa responsabilité pénale est engagée uniquement s’il les enfreint intentionnellement. Dans le cas contraire, la co-responsabilité s’applique. D’où l’intérêt de clarifier en amont le rôle de chacun.
À lire aussi : Conformité RGPD : auto-évaluez-vous gratuitement avec EvalRGPD !
Au-delà de l’aspect légal, la conformité RGPD reflète le sérieux d’une entreprise et renforce sa crédibilité aux yeux de ses clients et de ses prospects.
Les sanctions RGPD peuvent atteindre 2 à 4 % du chiffre d’affaires annuel mondial selon la catégorie de manquement. Des sanctions pénales peuvent s’ajouter, notamment en cas d’infraction pour insuffisance de mesure de protection.
Les obligations RGPD pèsent moins lourd sur les petites entreprises dont le traitement des données ne constitue pas l’activité principale. Celles de moins de 250 salariés peuvent, sous conditions, être dispensées de la tenue d’un registre.
