Règlement européen sur la protection des données : ce que vous devez savoir pour votre entreprise

Une réforme de la protection des données à l’échelle européenne pour mieux faire face aux nouveaux enjeux du numérique

La réforme, qui entrera en vigueur dès le 25 mai 2018 et s’étendra à tous les États membre de l’Union Européenne, vise trois principaux objectifs :

  • Renforcer les droits des personnes, grâce, notamment, à la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  • Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  • Crédibiliser la régulation par la mise en place d’une coopération renforcée entre les autorités de protection des données des états membres. Ces autorités, dont la CNIL pour la France, pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux, et appliquer des sanctions renforcées le cas échéant.

Les étapes clés pour préparer votre entreprise à cette réforme

Pour vous aider dans vos démarches pour conformer votre entreprise au nouveau Règlement Général sur la Protection des Données (RGPD), la CNIL propose un guide en 6 étapes.

Sachez que les entreprises qui ne se conformeront pas à ce nouveau règlement dès le 25 mai 2018 pourront subir une amende pouvant aller jusqu’à 4% du chiffre d’affaires annuel.

Étape 1 : Désigner un pilote

Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant le 25 mai 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.

Étape 2 : Cartographier vos traitements de données personnelles

Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.

Étape 3 : Prioriser les actions à mener

Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

Étape 4 : Gérer les risques

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).

Étape 5 : Organiser les processus internes

Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).

Étape 6 : Documenter la conformité

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.*

*Sources : la CNIL