RGPD/GDPR c’est quoi, c’est pour quand ?
Adopté par le parlement Européen le 26 mai 2016, la législation sur le règlement général sur la protection des données (RGPD) ou General Data Protection Regulation (GDPR) entrera en vigueur à partir du 25 mai 2018.
Quel est le but de cette loi ?
L’objectif est la protection des données personnelles des clients et consommateurs dans le but d’améliorer l’expérience client et de jouer la carte de la transparence vis-à-vis de l’entreprise en évitant la diffusion de ces informations et en redonnant le contrôle de la donnée au client.
Qui est concerné ?
Sur le web toutes les entreprises ayant une base de donnée client/fournisseurs/sous-traitant contenant des informations personnelles. En dehors du web on y retrouve : les entreprises, associations, administrations, collectivités locales et syndicats d’entreprise. Tous les inscrits auront la possibilité de demander à consulter, rectifier et ou supprimer les informations déjà en place sur certains sites et entreprises.
Quelles sont les sanctions de la CNIL si une entreprise ne respecte pas cette loi ?
Dès le 25 mai 2018, toute donnée stockée/utilisée par une entreprise sans un consentement explicite de l’utilisateur exposera celle-ci à de fortes sanctions :
Si non-respect du RGPD, une entreprise encourt une amende allant jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaire mondial pour un groupe international.
Les principes majeurs de la GDPR/RGPD à mettre en place dans les prochains mois :
– Protection des données : Il est impératif que les données personnelles des clients soient protégées à travers des procédures de traitement de la donnée, en cas de fuite une procédure de traitement de la donnée devra être présentée à la CNIL
- Le droit à l’oubli : La possibilité de demander à supprimer les informations en ligne.
- Le recueil du consentement : Les entreprises devront obtenir le consentement clair et explicite de la personne concernée quant à l’utilisation de ses données personnelles.
- Portabilité des données : Le client a la possibilité de transférer ses données vers un autre fournisseur de service quand il le souhaite
- Droit de l’information : Le client doit être informé en cas de piratage/violations des données. Ce piratage de données doit être indiqué à la CNIL.
Quelles mesures prendre dès aujourd’hui ?
Un non-respect peut être traduit par un simple envoi de newsletter, un stockage d’information ou toute autre prise de contact réalisé sans l’approbation explicite de la personne. Vous l’aurez compris l’enjeu économique pour les entreprises est conséquent il faut donc se préparer et anticiper cette nouvelle loi sans plus attendre.
Nos conseils pour anticiper cette réforme en 5 étapes :
1. Faire le point sur toute la donnée stockée en interne et définir un responsable de la protection des données.
2. Créer un registre des données personnelles traitées et identifier les différentes activités de l’entreprise concerné par ces nouvelles règles.
3. Définir par ordre prioritaire les actions à mener pour se conformer à la loi.
4. S’assurer d’avoir obtenu auprès des inscrits un consentement clair et explicite avec une trace écrite disponible en au moins 2 exemplaires.
5. Veiller à ce que tous vos collaborateurs/fournisseurs/sous-traitants soient également conformes au RGPD.
Liste des questions les plus fréquemment posées :
- Pouvez-vous assurer l’identification des utilisateurs sur votre réseau ?
- Avez-vous une stratégie intégrant la sécurité au centre du traitement des données ?
- Comment répondez-vous à l’obligation de consultation des incidents de sécurités ?
- Quels moyens de traçabilité des usages des données personnelles avez-vous mis en place ?
- Avez-vous envisagé une solution de chiffrement des données afin de répondre aux obligations du règlement ?
Vous avez des questions ou vous désirez plus d’information ? Notre équipe se fera un plaisir de vous répondre.
