Le Règlement général pour la protection des données est une directive de l’Union européenne visant à rendre plus transparente l’utilisation des données à caractère personnel collectées par les organisations. Sites internet, sociétés immobilières, avocats… tous les organismes publics et privés sont concernés par cette nouvelle réglementation, même ceux qui n’utilisent pas les procédés informatique.
Ainsi, par exemple, les entreprises commerciales collectent des informations sur les clients, les partenaires, le personnel, les prospects, etc. Dans le même temps, les organisations sociales possèdent des fichiers où figurent des listes de personnes avec qui elles ont des interactions. Face aux divers risques liés à l’utilisation de ces données, l’Union européenne a décidé d’imposer aux détenteurs des mesures de sécurité ardues de sorte à rassurer les personnes dont les données sont collectées.
Les étapes pour se mettre en conformité
Simple en apparence, la mise en conformité avec les exigences du RGPD n’est pas facile à mettre en place. Celle-ci requiert de l’organisation de nouvelles compétences ainsi que des ressources pour s’équiper en logiciels de gestion des données. Consciente des difficultés liées aux nouvelles exigences, la CNIL s’est engagée à accompagner tous ceux qui peineraient à se mettre à jour, notamment les PME et les TPE.
Sensibiliser et désigner un responsable de la protection des données
Pour une mise en conformité réussie, il est important de sensibiliser tout le personnel aux nouvelles règles. Cela permettra à chacun d’adhérer et de participer pleinement au plan de mise en conformité et aux nouvelles procédures de collecte et de gestion des données qui seront mises en place à l’issue du processus. Concomitamment, un collaborateur devra être désigné pour assumer la charge de responsable de protection des données (DPO). Ceci rendra facile l’élaboration d’une feuille de route pour rendre la démarche plus rationnelle.
Mettre en place des procédures
Suite à ces étapes, il est indispensable de faire le bilan des données existantes afin de réaliser une cartographie du travail à faire d’une part et, de l’autre, pour faire le tri afin de ne conserver que celles qui ont une raison de l’être. Des organisations détiennent un nombre élevées d’informations personnelles quand bien même les raisons qui ont justifié leur collecte n’existent plus. Cela leur fait encourir de nombreux risques, comme par exemple, de voir ces données tomber dans des mains appropriées.
L’évaluation de l’envergure des données existantes permettra de mettre en place un plan d’action et une procédure pour une meilleure gestion de ces informations.
Toutes les actions ci-dessus ont pour finalité d’aboutir à la création d’un système qui soit à même de garantir la protection des données dès leur collecte. Mais avant cela, l’entreprise devra se mettre à niveau en s’équipant en logiciels adéquats.
En adoptant le RGPD, l’Union européenne a montré sa volonté de donner suite à l’exigence des citoyens soucieux d’une meilleure protection de leurs données par les détenteurs de ces dernières. Mais face aux difficultés de mise en conformité, beaucoup d’organisations risquent de se retrouver en infraction, encourant ainsi des sanctions pouvant aller jusqu’au ¼ de leur chiffre d’affaires mondial et même à des sanctions pénales.
Dans ces conditions, il est plus efficace de contacter un expert ou une plateforme de mise en conformité pour vous accompagner dans votre démarche.
