2018 est l’échéance à partir de laquelle les entreprises vont devoir se conformer au nouveau règlement général de l’UE sur la protection des données (GDPR) qui, au regard des énormes volumes de données annoncés, pourrait avoir de lourdes implications pour n’importe quelle entreprise qui manipule des données personnelles. Arnaud Revert, président directeur général d’Iron Mountain France, livre ici ses conseils pour se mettre en conformité.
Pour bien comprendre l’impact du nouveau règlement général de l’UE sur les processus de gestion de l’information des entreprises, et comment l’appréhender dans un contexte réglementaire plus général, voici six étapes préalables pour les aider à se mettre en conformité.
1 La première question à se poser est de savoir ce que sont les données personnelles et si l’entreprise en a en sa possession.
2 Vient ensuite la question de savoir comment le règlement GDPR s’applique au cas particulier de l’entreprise. Il est vital à ce stade, de bien comprendre la terminologie employée : données personnelles, champ d’application territorial, demande d’accès des personnes concernées par les données, évaluation de l’impact sur la protection des données (DPIA), droit à l’effacement et à la portabilité des données, et consentement.
3 L’étape trois consiste à se demander où les données résident dans l’entreprise. Il peut s’agir de données enregistrées sur des systèmes en interne, sur les terminaux personnels des salariés, dans des archives sur d’autres sites et dans des classeurs, ainsi que les informations stockées par des fournisseurs, des sous-traitants et des partenaires commerciaux.
4 Les entreprises devraient établir une carte de leurs données pour toujours savoir où se trouve l’information et s’assurer de pouvoir gérer les risques et les surveiller en continu.
5 Parallèlement, l’entreprise devrait faire le point des règles de rétention en vigueur et les actualiser, pour savoir que faire de l’information et combien de temps les conserver. L’objectif est de ne conserver les données personnelles et autres archives que le temps nécessaire avant de les détruire, en application des obligations légales, réglementaires ou contractuelles, et de pouvoir aussi s’en justifier.
6 Enfin, il est crucial de sensibiliser les personnes concernées et de rester réactif. Pour s’adapter aux réglementations changeantes, les règles de rétention doivent rester dynamiques et évoluer avec le contexte.
Même si le nouveau règlement général sur la protection des données de l’UE a pour objet de protéger le droit constitutionnel des résidents européens au respect de leur vie privée, sans établir des conditions de rétention spécifiques, tout défaut de conformité pourra avoir de lourdes implications, à la fois financières et sur leur réputation. Si bien qu’il est très important de s’accorder sur les règles de rétention des archives. Les entreprises doivent impérativement observer ces étapes dès maintenant, pour s’assurer de pouvoir identifier facilement la localisation des données personnelles au sein de leur organisation et comprendre quelles sont leurs obligations de gestion.