Actualités
Publications
Inscription à la newsletter
25
Mai

Mise en place du RGPD dans les entreprises à partir du 25 mai 2018

Avec l’entrée en application, le 25 mai 2018, du règlement général relatif à la protection des données (RGPD), quelles sont les conséquences pour les entreprises concernées ?

Ce nouveau règlement a été mis en place pour remplacer la directive de 1995, adoptée avant la création des réseaux sociaux, du Cloud du Big Data ou encore des objets connectés qui sont aujourd’hui omniprésents dans la vie quotidienne. Ainsi, cette directive des années 90 était devenue complètement désuète aux vues des évolutions technologiques.

Le RGPD vient réguler un monde où les données personnelles font l’objet d’un business florissant et où une protection des droits des citoyens devient plus une nécessité et surtout une demande en forte croissance.

Après plus de 4 ans de négociations, le nouveau règlement sur la protection des données a été adopté par le Parlement européen le 14 avril 2016. Les dispositions qu’il contient sont directement applicables dans tous les états membres de l’Union Européenne à partir du 25 mai 2018.

Sa mise en place marque une volonté de réformer les règles de la protection des données par la mise à jour et la modernisation des normes existantes. Mais surtout, ce nouveau règlement vise à redonner aux citoyens le plein contrôle sur leurs données personnelles, tout en essayant de ne pas limiter le développement des entreprises par une règlementation trop lourde à appliquer.

Le RGPD s’applique à toutes les entités qui dans le cadre de leur activité récoltent des données personnelles de citoyens.

Pour rappel, une donnée personnelle est toute information permettant d’identifier directement (nom, prénom…) ou indirectement (numéro client, numéro de téléphone…) une personne physique.

Ce nouveau règlement ne concerne pas seulement les clients de l’entreprise, il aura également d’importantes répercussions sur les ressources humaines et la gestion du personnel.

En effet, dans la pratique, les entreprises détiennent de nombreuses données personnelles sur leurs salariés et le RGPD invite les entreprises à se poser des questions sur la gouvernance de ces données.

Plusieurs principes sont posés par le RGPD qui précise que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée.

Elles doivent être collectées pour des finalités déterminées et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.

Elles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire pour atteindre les finalités, tout en étant exactes et tenues à jour.

Enfin, elles doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités.

Pour se mettre en conformité avec le RGPD et les obligations posées par ce dernier, il est nécessaire pour les entreprises de mettre en place plusieurs actions pour se conformer aux obligations du RGPD :

  • Désignation d’un délégué à la protection des données qui est obligatoire pour les organismes publics et les entreprises dont l’activité de base amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites sensibles ou relatives à des condamnations pénales. Il est recommandé de désigner dans toutes les entreprises un délégué à la protection des données pour s’assurer de la mise en conformité avec le RGPD. Le délégué peut être désigné en interne, avec la nomination d’un salarié, mais aussi en externe, en ayant recours à la sous-traitance.
  • Le recensement des fichiers, avec l’obligation de tenir un registre des traitements de données personnelles dans les entreprises d’au moins 250 salariés.
  • Repérer les traitements à risque, avec pour chaque traitement l’obligation de vérifier les circonstances de la collecte des données, la nature des données ou encore les personnes habilitées à avoir accès à ces données.
  • Respecter le droit des personnes, en assurant un droit d’accès, de rectification, d’opposition, d’effacement, de portabilité ou encore en assurant la limitation du traitement.
  • Sécuriser les données, en prenant des mesures, qui peuvent être informatiques ou physiques. Mesures qui doivent être adaptées à la sensibilité des données traitées.
  • S’assurer en cas de sous-traitance que, le prestataire respecte le RGPD.

La CNIL (Commission Nationale de l’Informatique et des Libertés) conserve un pouvoir de contrôle, elle pourra procéder à des vérifications dans les locaux des organismes, en ligne, sur audition ou sur pièces. La décision de réaliser des contrôles s’effectue sur la base du programme annuel des contrôles et sur les plaintes reçues par la CNIL.

Comments ( 0 )