FAQ : l'entrée en vigueur du RGPD le 25 mai 2018
L'entrée en vigueur du RGPD est proche et bon nombre d'entreprises se posent encore des questions relatives à cette nouvelle réglementation.
Ci-dessous, nous allons répondre à quelques-unes de ces questions, que vous retrouvez dans la vidéo au sommet de cet article.
A qui s'applique réellement le RGPD ?
Ce règlement va s'appliquer principalement à toutes les entreprises établies en Europe. Cependant, toutes les entreprises hors-Europe, traitant elles aussi des données de personnes européennes, seront concernées par cette mise en conformité obligatoire.
Quelles sont les données concernées ? Qu'entend-t-on par données personnelles ?
Les données personnelles sont représentées par la moindre information détenue sur une personne : nom / prénom / sexe / religion / etc. C'est ainsi que toute entreprise est en possession de telles données, que ce soit au niveau de son personnel interne, mais aussi et surtout de sa clientèle par exemple.
Une traçabilité optimale de ces informations devra ainsi pouvoir être démontrée et correctement décrite afin de rassurer chaque partie.
Comment puis-je faire si je collecte des données depuis mon site web ? (newsletter, etc.)
Tout d'abord, il faut savoir que seules les entreprises sont concernées par le RGPD. En effet, les particuliers ne sont pas concernés et ne doivent ainsi pas avoir cette traçabilité sans faille quant à la gestion des données personnelles.
En cas de récolte de données depuis un site web, les visiteurs doivent être mis au courant de l'utilisation prévue de leurs informations et ainsi donner leur accord au propriétaire du site web. Ensuite, l'entreprise devra bien entendu documenter le suivi des données et garantir qu'aucune utilisation frauduleuse n'aura été faite avec ces dernières.
Qu'est-ce qu'un DPO (Data Protection Officer) ?
Il s'agit d'un nouveau poste à pourvoir au sein des entreprises concernées par le RGPD. En effet, cette personne sera le chef de la conformité de la protection des données au sein de l'organisation. Elle devra garantir que l'ensemble des processus sont correctement suivis et que le personnel a été correctement formé à l'ensemble des directives.
Pour les PME, un DPO à 100% n'est peut-être pas envisageable et ne serait pas forcément cohérent au vu de la taille de l'entreprise. C'est pourquoi, cette dernière peut faire appel à un DPO "externe", mandaté pour effectuer cette mission de "contrôle".
Existe-t-il un label pour garantir que je suis conforme à la RGPD ?
Non, actuellement, il n'y a pas de label officiel qui garantit que telle ou telle organisation est conforme à 100%. Il s'agit de contrôles aléatoires, pouvant survenir au sein de votre entreprise. Des guides et conseils peuvent vous être fournis afin de vous conformer au nouveau règlement dès le 25 mai prochain. De plus, des autorités compétentes peuvent auditer votre société et ainsi vous fournir un rapport complet sur l'état actuel et les possibilités d'amélioration.
Que faut-il faire en cas de perte de données ou infraction au RGPD ?
Il est nécessaire de vous adresser au plus vite (au plus tard dans les 72 heures) à l'autorité compétente qui va ainsi par la suite analyser votre réaction face à cette perte de données et mettre en place des solutions permettant de ne plus risquer ce genre de souci à l'avenir.
Qu'est-ce que je risque si je ne suis pas prêt pour le 25 mai 2018 ? Quelles sont les sanctions prévues ?
La date officielle est prévue pour le 25 mai prochain. Une grande partie des entreprises risquent de ne pas être prêtes à 100% à cette date et les contrôles ne vont pas forcément débuter de manière soutenue à partir de ce moment.
L'arrivée de la RGPD représente une charge de travail énorme pour les entreprises concernées et de telles procédures prennent du temps à être mises en places.
Les sanctions maximales annoncées peuvent aller jusqu'à 4% du Chiffre d'Affaires mondial ou 20 millions d'euros.
Source : cnil.fr