RGPD : prêt pour le 25 mai ?

Adopté par le Parlement Européen le 25 mai 2016, le règlement général sur la protection des données (RGPD) a pour objectif de protéger la vie privée des citoyens européens. Faisant la Une des journaux, il entrera en vigueur le 25 mai 2018. Qu’est-ce que ce nouveau règlement va changer pour les entreprises ? Comment s’organiser ? 3S2I fait le point !

Des entreprises européennes mal préparées

A plus d’un mois de l’entrée en vigueur du RGPD, seulement 26% des entreprises européennes sont prêtes ! Pire encore : seuls 25% des dirigeants estiment que c’est l’une des principales priorités de l’année.

Pourtant, ne pas respecter ce règlement peut être lourd de conséquences ; la non-conformité exposent les entreprises à des amendes pouvant atteindre 20 M€ ou représenter 4% de leurs revenus annuels (le montant le plus élevé étant retenu !).

Retrouvez ici les actions prioritaires à mener dans votre entreprise

• Désigner un pilote : Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exerce une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données.
  Le conseil 3S2I : songez à désigner un « correspondant informatique et libertés », qui aura pour mission d’anticiper et d’organiser les actions à mener.

• Cartographier : A partir du 25 mai, chaque entreprise devra tenir une documentation interne complète sur le traitement des données personnelles et s’assurer qu’il respecte bien les nouvelles obligations légales.
  Le conseil 3S2I : Etablir un registre permettra de faire le point sur la façon dont vous traitez actuellement les données et d’identifier les pistes d’amélioration.

• Gérer les risques : Les données que vous traitez peuvent représenter un potentiel risque pour les droits et libertés des personnes concernées ? Menez une analyse d’impact sur la protection des données (DPIA – Data Protection Impact Assessment). Permettant de construire des traitements de données respectueux de la vie privée, elle servira également à démontrer leur conformité au RGPD.

• Organiser : Mettez en place des processus et procédures internes, permettant d’anticiper et prévoir la protection des données en cas d’imprévus (ex : faille de sécurité, changement de prestataire, rectification des accès, etc.).

• Documenter :
  En cas de contrôle, plusieurs éléments seront à fournir afin de prouver votre conformité au règlement : registre des traitements, modèles de recueil du consentement des personnes concernées, contrats avec les sous-traitants, etc.

Pour vous guider et faciliter cette transition, la CNIL met à votre disposition des outils pratiques comme, par exemple, des modèles-types de documents. 3S2I est également disponible pour accompagner votre réflexion et vous guider dans les solutions les plus adaptées à votre structure.

La gestion des documents et des données collectées devient donc une nouvelle préoccupation des entreprises qui se doivent de réfléchir et de déployer des solutions fiables et rassurantes pour le stockage, la sauvegarde et l’exploitation des données.