- RGPD, TOP DEPART !
- logo-sopra-steria
- 640px-zentrale_der_atos_it_solutions_and_services_gmbh_in_wien
- 640px-zentrale_der_atos_it_solutions_and_services_gmbh_in_wien
- Capgemini annonce un chiffre d’affaires en hausse de 6,9 % pour le 1er semestre 2023
- capgemini-siege-issy-les-moulineaux
- metaverse-gecf505b4b_1280
Le 25 mai 2018 le nouveau règlement européen sur la protection des données (RGPD) entrera en vigueur, créant un cadre renforcé et harmonisé au niveau européen visant à renforcer les droits des personnes et à responsabiliser les acteurs traitant des données.
Il modifie en profondeur la gestion et la conservation des données à caractère personnel effectué par les entreprises en leur imposant de nouvelles obligations. Etes-vous prêt ?
Les points essentiels à connaître
> Le cadre juridique
Quand ? 25 mai 2018
Qui ? Toutes les entreprises traitant de données personnelles de citoyens européens.
Le Règlement est applicable à l’ensemble des entreprises et de leurs sous-traitants quelle que soit leur implantation, y compris hors Union européenne.
> Utilisateurs : ses droits
- Une information claire et facilement accessible de l’usage fait des données.
La personne doit consentir de manière éclairée au traitement de ses données. - Le consentement préalable : exemple de création de compte (voir infographie).
- La portabilité des données. Possibilité de récupérer des données fournies, sous une forme facilement réutilisable, et de les transférer à une autre entreprise.
- Droit à l’oubli. Suppression des données à la demande d’un individu
- Les moins de 15 ans doivent obtenir le consentement de l’autorité parentale pour fournir leurs données personnelles
- Conservation des données limitées dans le temps. Les données dépendant d’une obligation légale ou réglementaire doivent être archivées selon la durée indiquée, et ensuite supprimées ce temps écoulé. Celles permettant de faire valoir un droit en justice le seront, elles, après la durée de prescription.
> Des outils de mise en conformité
- Tenue d’un registre des traitements mis en œuvre pour les entreprises
- Notification des failles de sécurité sous 72 heures aux autorités et personnes concernées
- Adhésion à des codes de conduite
- Nomination d’un DPO (délégué à la protection des données)
- Etudes d’impact sur la vie privée (EIVP)
> Les acteurs responsabilisés
- De formalités préalables, passage à une logique de conformité, dont les acteurs sont responsables
- Protection des données dès la conception du produit ou du service, et par défaut
> Les sanctions
Il existe deux sanctions selon le type de violation. Elles concernent à la fois les responsables de traitement et les sous-traitants, dans une vision de responsabilités partagées dans la loi.
10 millions d’euros ou 2 % du CA annuel monde ou 20 millions d’euros ou 4 % du CA annuel monde.
AVIS D’EXPERT
Denis Skalski,
directeur Conseil chez Umanis
Conformité
Les 4 étapes à suivre par les PME
1 Mener une étude « flash » d’exposition de l’entreprise au RGPD
Cette action est le point de départ pour identifier les responsabilités de la PME en tant que Responsable de Traitements et en tant que sous-traitants. Cette étude est menée sur l’ensemble des axes : juridique, organisationnel, business (traitements par métier), informatique, sécurité. Elle permet de pré-qualifier et de pré-quantifier l’effort de recensement à réaliser. Généralement, pour les PME, cela se traduit par une réunion d’une journée avec les différents acteurs.
2 Etablir un état des lieux RGPD
Suite à l’étude flash et en fonction des éléments d’exposition au RGPD (activité de base, périmètre et échelle d’utilisation des données à caractère personnel…), un état des lieux RGPD est mené. Il vise, à partir d’une cartographie de chaque traitement, à identifier le GAP Analysis entre l’existant et les exigences du RGPD. Une étude des risques est alors menée pour identifier les grandes priorités de mise en conformité.
3 Développer un plan d’action
Cette étude donne lieu à l’élaboration d’un plan d’action par traitement. Celles-ci sont regroupées par la suite par thématiques : actions juridiques et contractuelles (revue des contrats de travail, revue des contrats de vente, revue des mentions légales…), actions informatiques (sécurité, nouveaux droits, accountability…), actions organisationnelles (nomination d’un DPO, gouvernance du RGPD, logigrammes…), actions vis-à-vis des clients (notamment si l’entreprise est sous-traitante), actions vis-à-vis des sous-traitants ou partenaires tels que les cabinets comptables, fournisseurs, éditeurs de logiciels, etc. Ce plan d’action doit être qualifié, quantifié, hiérarchisé et planifié.
4 Ensuite…
Après arbitrage, l’entreprise devra suivre les actions de mise en conformité en fonction de ses contraintes de mobilisation. Il est probable que le délai de mise en œuvre de ces actions soit plus long que dans les grandes entreprises. Peu importe, il conviendra de démontrer à l’Autorité de Contrôle (CNIL) que les actions sont lancées et gérées. n
Seules 26 % des entreprises européennes
sont 100 % conformes
- Selon une des dernières études publiées sur le sujet, en l’occurrence celle de Forrester éditée fin janvier, 26 % des entreprises de l’UE déclarent être totalement conformes au RGPD. C’est moins bien que les 33 % des entreprises nord-américaines et les 29 % de celles de l’Asie-Pacifique ou de l’Amérique latine.
- Si une entreprise sur trois, en moyenne dans le monde, pense être conforme à la réglementation, Forrester estime que « ce n’est peut-être pas leur cas », alors qu’elles ont adopté « une approche fragmentée », reposant sur l’IT et répondant à des exigences particulières telles que la notification de violation des données.
- Trop d’entreprises croient encore que le RGPD ne s’applique pas à elles. Ainsi les entreprises qui ne sont pas physiquement présentes dans l’UE doivent se conformer aux règles, si elles y vendent des produits ou services, ou collectent des données pour définir des profils par exemple.
- Les services financiers, la santé et le secteur public, habitués aux réglementations diverses et possédant des ressources pour les appliquer, sont les plus en avance. Alors que le retail et les médias sont en retard. Télécoms et utilities sont au milieu du gué.
- Les exemples de privacy-by-design (respect de la vie privée dès la conception) sont encore rares.
La Cnil fera preuve de souplesse
La Commission nationale de l’informatique et des libertés (Cnil) a assuré aux entreprises qu’elle ferait preuve de souplesse en matière de contrôle, après l’entrée en vigueur du règlement. « Notre but ne sera pas de sanctionner immédiatement des manquements à des obligations nouvelles liées au RGPD. Cela durera certainement le temps de l’année 2018. Après, on verra », a annoncé Isabelle Falque-Pierrotin, la présidente. « Tout le monde ne sera pas forcément conforme le 25 mai, l’essentiel est d’avoir pris conscience et de s’engager dans cette démarche de conformité », indique Jean Lessi, le secrétaire général de la Cnil. L’autorité « consciente de la nouveauté des obligations, va intégrer la nécessaire courbe d’apprentissage dans sa politique répressive ».
5 guides en ligne à consulter
– Le Guide Pratique du RGPD de Solutions Numériques (A PARAITRE FIN MARS-DEBUT AVRIL, en ligne dans la section Livres Blancs)
www.solutions-numeriques.com/livres-blancs
– Le guide opérationnel Cigref/AFAI/TECH IN pour le SI et le juridique :
www.cigref.fr/wp/wp-content/uploads/2017/11/CIGREF-GT-AFAI-CIGREF-TIF-Donnees-Personnelles-et-Systemes-d-Informations-GDPR-2017.pdf
– L’infographie du Clusif résumant le RGPD :
https://clusif.fr/publications/infographie-donnees-a-caractere-personnel-entrees-lere-rgpd/
– Le guide de la Cnil :
https://www.cnil.fr/fr/un-nouveau-guide-de-la-securite-des-donnees-personnelles
– Le guide de la Cnil pour les sous-traitants :
https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants
