Comment mettre en place le RGPD au sein de l’entreprise ?

Entré en application le 25 mai 2018, le règlement général sur la protection des données (RGPD) est sur toutes les lèvres. Pourtant, un flou persiste autour de cette obligation légale.

De quoi parle-t-on exactement ?

Qui est concerné ?

Comment implémenter le RGPD en entreprise pour la mettre en conformité ?

GPD : définition et principes

 

Le RGPD est un texte réglementaire visant à encadrer le traitement des données personnelles sur le territoire européen. Il repose sur des principes de finalité, de pertinence, de durée de conservation, de sécurité, de confidentialité et de droits des personnes.

Gardienne de leur mise en œuvre, la Commission nationale de l’informatique et des libertés (CNIL) qualifie de donnée personnelle « toute information se rapportant à une personne physique identifiée ou identifiable » : nom, prénom, adresse IP, etc.

 

Concrètement, le RGPD s’articule autour de 3 objectifs :

  • protéger la vie privée ;
  • responsabiliser les acteurs traitant des données ;
  • réguler par une coopération renforcée.

 

Le RGPD concerne toutes les organisations publiques ou privées et s’applique à la fois aux supports imprimés et numériques.

 

À lire aussi : Digitalisation des entreprises : comment procéder ?

Les étapes pour mettre en place le RGPD en entreprise

Plusieurs actions jalonnent le processus de mise en conformité RGPD.

 

Tenir un registre

 

Le registre des activités de traitement permet de documenter le respect du RGPD. Les entreprises de moins de 250 salariés peuvent se contenter d’y inclure les traitements non occasionnels, ceux présentant un risque pour les droits et les libertés ou concernant des données sensibles.

 

Minimiser les données

 

Les informations non essentielles ne doivent pas être conservées. L’idéal étant dès le départ de collecter uniquement les données nécessaires à l’objectif poursuivi par l’entreprise (principe de privacy by design).

 

Respecter les droits des personnes

 

Le recueil de données nécessite un consentement préalable. À ce titre, les personnes concernées doivent en connaître la finalité et pouvoir exercer leurs droits d’accès, de rectification, d’interrogation, de portabilité ou d’opposition.

 

Sécuriser les données

 

Le RGPD impose des mesures techniques et opérationnelles adaptées au risque numérique : politique de sauvegarde et d’archivage, chiffrement des données, cryptages des échanges, etc.

 

À lire aussi : Cybersécurité en entreprise : les bonnes pratiques à mettre en place

Les obligations de l’entreprise en matière de RGPD

 

Des obligations incombent aux entreprises qui collectent, traitent et stockent des données.

 

Garantir la sécurité et la confidentialité

 

Dans un contexte de cybercriminalité, le RGPD nécessite une sécurisation optimale des locaux et des systèmes d’information pour éviter la divulgation des données à des tiers non autorisés.

 

Informer les personnes concernées

 

Les supports permettant la récolte de données doivent indiquer l’identité du responsable de fichier, l’objectif de la collecte, la durée de conservation, le destinataire final ainsi que les modalités d’exercice des droits.

 

Analyser l’impact sur la vie privée

 

L’analyse d’impact relative à la protection des données (AIPD) s’applique à tout traitement d’informations entraînant un risque pour les droits et les libertés des personnes : dossier médical, algorithme destiné à faciliter le recrutement, etc.

Qui est responsable du RGPD dans l’entreprise ?

 

Le responsable de traitement est la première personne chargée de faire respecter le RGPD au sein de l’entreprise. Il s’agit le plus souvent d’une personne morale, incarnée par le représentant légal.

Certaines activités exigent la désignation d’un délégué à la protection des données (DPD), notamment si l’entreprise réalise des traitements :

  • de surveillance à grande échelle ;
  • de données sensibles ou concernant des personnes vulnérables ;
  • de type profilage.

 

Dès lors, le DPD veille à ce que le responsable du traitement, ses collaborateurs et ses sous-traitants respectent leurs obligations RGPD. Il devient l’interlocuteur principal et coopère au besoin avec l’autorité de contrôle.

En cas de violation des obligations RGPD, sa responsabilité pénale est engagée uniquement s’il les enfreint intentionnellement. Dans le cas contraire, la co-responsabilité s’applique. D’où l’intérêt de clarifier en amont le rôle de chacun.

 

À lire aussi : Conformité RGPD : auto-évaluez-vous gratuitement avec EvalRGPD !

Les questions les plus posées

 

Quels sont les avantages de la conformité au RGPD ?

 

Au-delà de l’aspect légal, la conformité RGPD reflète le sérieux d’une entreprise et renforce sa crédibilité aux yeux de ses clients et de ses prospects.

 

Quelles sont les sanctions en cas de non-conformité au RGPD ?

 

Les sanctions RGPD peuvent atteindre 2 à 4 % du chiffre d’affaires annuel mondial selon la catégorie de manquement. Des sanctions pénales peuvent s’ajouter, notamment en cas d’infraction pour insuffisance de mesure de protection.

 

Comment le RGPD s’applique-t-il aux petites entreprises ?

 

Les obligations RGPD pèsent moins lourd sur les petites entreprises dont le traitement des données ne constitue pas l’activité principale. Celles de moins de 250 salariés peuvent, sous conditions, être dispensées de la tenue d’un registre.

retour
clear
retour
clear
retour
clear
retour
clear
retour
clear
retour
clear