Entreprises

Le 25 mai 2018, le GDPR (Règlement Général sur la Protection des Données) sera définitivement d’application dans l’ensemble de l’Union Européenne. Il prévoit de nouvelles dispositions contraignantes en matière de protection, et de libre circulation des données personnelles des personnes physiques. En effet, le traitement de ces données par les entreprises sera encadré de façon plus stricte. Ainsi, en cas de manquement aux injonctions édictées par le GDPR, les pénalités encourues par les entreprises pourront aller, selon les cas, jusqu’à 20 millions d’euros d’amendes, ou 4% du chiffre d’affaires mondial de l’organisation. De quoi motiver les sociétés à se conformer au règlement. Voici donc une feuille de route pour se conformer au GDPR :

1. Sensibilisation : conscientisez vos collaborateurs à la notion de vie privée. Son respect doit être partagé par tous.

2. Formation : formez vos collaborateurs aux nouvelles obligations introduites par le GDPR. Informez les personnes clés et les décideurs quant aux changements à venir. Ils doivent évaluer les conséquences que le GDPR aura sur l’entreprise ou l’organisation.

3. Structuration de la mise en conformité: désignez un pilote et des acteurs-clés, alloués au projet. A cet égard, le GDPR impose dans plusieurs cas la désignation d’un DPO ou délégué à la protection des données, qui est responsable du respect des règles de protection des données. Prévoyez également les moyens financiers nécessaires pour en assurer la réussite.

4. Registre de données: pour mesurer concrètement l’impact du GDPR sur la protection des données que vous traitez, commencez par recenser de façon précise les données à caractère personnel que vous conservez, notez quelle est leur origine et les personnes avec lesquelles vous les avez partagées. L’élaboration d’un registre ou d’une cartographie de vos traitements vous permettra d’être plus efficace.

5. Prioriser les actions à mener : sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations du GDPR. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

6. Droits de la personne concernée: Vérifiez que vos processus de traitement soient mis à jour pour que les personnes puissent exercer correctement leurs droits. Le GDPR crée de nouveaux droits (droit à la portabilité, à la limitation, à l'oubli), qui viennent s'ajouter à plusieurs prérogatives préexistantes (droits d'accès, d'opposition, de rectification).

7. Documenter votre conformité: pour prouver votre conformité au règlement, vous devez documenter les différents types de traitements de données que vous effectuez, et identifier le fondement légal pour chacun d’entre eux.

8. Consentement: développez des systèmes qui vérifient l’âge de la personne concernée et qui demandent, obtiennent et enregistrent leur consentement pour le traitement de leurs données.

9. Protéger les données dès le départ : incluez la protection des données dès le début de la conception d’un système ou d’un processus (« privacy by design »), en tenant compte de la règlementation, plutôt que d’intégrer plus tard un correctif.

10. Minimiser le traitement des données : Le responsable du traitement garantit qu’il ne traite que les informations nécessaires à la finalité poursuivie, et seulement celles-ci (privacy by default). Il doit, par ailleurs, recueillir le consentement explicite et éclairé des personnes concernées et détruire systématiquement les données une fois la finalité terminée.

11. Fuite de données: prévoyez des procédures adéquates pour détecter, apporter et analyser des fuites de données à caractère personnel.

12. Evaluez vos contrats existants, principalement avec des sous-traitants, et apportez les changements nécessaires en temps utile.

13. Au niveau international: déterminez de quelle autorité de contrôle vous relevez si votre entreprise ou organisation est active au niveau international.

Si la thématique vous intéresse, La Libre Network organise une conférence sur le sujet le 17 avril prochain. Inscrivez-vous rapidement, les places sont limitées!