RGPD : comment bien s’y préparer ?
Le | Core rh
Le 25 mai prochain, entrera en vigueur le Règlement général sur la protection des données (RGPD), dont l’objectif est de mieux protéger les données personnelles des résidents de l’Union européenne, aujourd’hui abondamment collectées par les entreprises. De très fortes amendes sont prévues pour ces dernières en cas d’infraction. Comment anticiper cette nouvelle réglementation ? Eléments de réponses
Prendre ses responsabilités
La volonté du RGPD est avant tout de responsabiliser les entreprises en matière de collecte d’informations. Terminées les autorisations préalables de la Cnil, derrière lesquelles il était possible de s’abriter en cas de contrôle ! Désormais, chacune a carte blanche en matière de gestion de données… Encore faut-il rester dans les clous ! « Les entreprises devront elles-mêmes identifier les potentiels écarts existant entre la loi et leurs pratiques et y remédier », résume Cécile Georges, chief privacy officerpour ADP. Autrement dit : les entreprises ont une grosse pression…
Se doter d’un « DPO »
Les autorités, et parmi elles la Cnil, conseillent aux entreprises de se doter d’un véritable pilote qui pourra centraliser l’ensemble des efforts de mise en conformité. C’est le fameux DPO - Data Protection Officer -aussi appelé Délégué à la protection des données. « Désigner un DPO est obligatoire dans le secteur public, explique Cécile Georges. Dans le privé, la démarche est seulement recommandée : tout dépend du volume d’informations à récolter ou de leur sensibilité. Les PME pourront externaliser ce poste et faire appel à un DPO provenant d’un cabinet de conseils. »
Cartographier les données
Une fois le DPO désigné, la première tâche à mener est de recenser précisément les données et la manière dont elles sont utilisées par l’entreprise au sein d’un registre indiquant la liste des traitements en cours et leur finalité. « Mettre en place ce genre de cartographie est à la fois une obligation légale mais aussi la meilleure manière d’évaluer précisément quelles seront les actions à mener pour se mettre en conformité avec la loi, complète Cécile Georges. Restera ensuite à prioriser ces actions par le biais, entre autres, d’analyses d’impact. »
Documenter la mise en conformité
Dernière étape après le recensement : la mise en œuvre des procédures internes nécessaires à la mise en conformité. La Cnil recommande ensuite de documenter cette remise en ordre en cas de contrôle ultérieur. « A travers toutes ces démarches, les entreprises vont, dans une certaine mesure s’auto-certifier », sourit Cécile Georges. Charge à elles de maintenir ensuite à jour cette documentation et leurs mécanismes de contrôle. « Autant de missions relevant du DPO… » C’est dire si la responsabilité pesant sur les épaules de ce responsable sera grande ! « En fonction de la gravité de leurs fautes, les contrevenants devront verser soit 2 % de leur chiffre d’affaires mondial ou 10 millions d’euros, soit 4 % ou 20 millions, le montant le plus important étant à chaque fois retenu. »
Morgan Robert