traitement des données à caractère personnel
Tout d’abord, le RGPD, Règlement Général sur la Protection des Données, est une directive européenne qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne. Il est entré en application le 25 mai 2018. Le RGPD oblige toutes les entreprises et les administrations à respecter certaines règles concernant le traitement des données à caractère personnel. Le RGPD est une continuité de la Loi française Informatique et Libertés de 1978, établissant des règles sur la collecte et l’utilisation des données sur le territoire français.
Il a été conçu autour de 3 objectifs :

 

  • Renforcer les droits des personnes;
  • Responsabiliser les acteurs traitant des données;
  • Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

Quelques rappels sur le RGPD

Données à caractère personnel, de quoi parle-t-on ?

Par ailleurs, les données personnelles correspondent à toutes les informations relatives à une personne physique identifiée ou identifiable. Par exemple : un nom, un prénom, un numéro de téléphone, une adresse IP, une carte de paiement, une plaque d’immatriculation, des caractéristiques relatives à l’identité physique, génétique…

traitement des données

Le RGPD, par où commencer ?

Constituez un registre de vos traitements de données

Ce registre, vous permettra d’obtenir une vision globale sur les traitements de données au sein de votre entreprise. Pour ce faire, vous devez identifier les activités de votre structure qui utilisent des données personnelles, par exemple : recrutement, la gestion de la paie, la gestion des badges et des accès, les statistiques de ventes, la gestion des prospects…

Sur ce registre des thèmes sont à préciser comme :

  • L’objectif poursuivi, par exemple la fidélisation du client
  • Les catégories de données utilisées, comme pour la paie : nom, prénom, date de naissance…
  • Qui a accès aux données, par exemple : les services RH, informatique, la direction…
  • La durée de conservation de ces données : la durée de conservation en archive et la durée de l’utilisation des données.
Règlement Général sur la Protection des Données

Faites le tri dans vos données

C’est l’occasion d’améliorer les pratiques de votre entreprise.

Vous devez aussi contrôler que les données que vous traitez soient nécessaires à votre activité. Mais aussi, que vous n’utilisez aucune donnée dite « sensible ». Si c’est le cas, que vous avez bien le droit de les traiter. Définissez ou redéfinissez qui doit pouvoir accéder à quelles données au sein de votre structure.

Respectez les droits des personnes

Informez et permettez aux personnes d’exercer facilement leurs droits. Le RGPD oblige la transparence et l’information des personnes dont vous manipulez les données.

Sécurisez vos données

Vous devez prendre des mesures pour sécuriser la data que vous utilisez.

Nous vous avons créé une liste de choses simples à mettre rapidement en place pour réduire les risques de pertes ou de piratage :

Nomination d’un DPO

Toutes les entreprises et organisations publics doivent nommées un DPO, Data Protection Officer. Cette personne est en charge de la mise en conformité du RGPD au sein de la structure.

Notification des failles de sécurité

Le délai maximum de notification d’une violation de données à risques auprès de la CNIL est de 72h.

Quels sont les risques pour les entreprises si elles ne se mettent pas aux normes ?

Avec le RGPD, le montant des sanctions peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

En France, la première sanction remarquable a été prise à l’encontre de Google en janvier 2019. La CNIL estime que l’entreprise américaine commet 3 manquements : Accessibilité et clarté de l’information et absence de consentement valable pour la publicité personnalisée. Une sanction de 50 millions d’euros est infligée au géant américain par la CNIL. Toutefois, Google a annoncé un recours devant le conseil d’Etat.

Le RGPD : état des lieux après 3 ans

3 ans après la mise en place du RGPD, le bilan est positif !

La crise sanitaire au profit du RGPD

1 entreprise sur 2 estime avoir atteint un bon niveau de conformité.

La situation sanitaire aura finalement été favorable pour le RGPD notamment sur les données personnelles. Les entreprises et organismes publics sont près de la moitié à estimer avoir un niveau de complétude supérieur à 70%.

Cyberattaques, la sécurité au centre des préoccupations

Cette année, les entreprises ont accéléré et renforcé leur sécurité. La multiplication des risques liées aux cyberattaques, les sanctions émises par la CNIL et la sécurité des données ont instauré de nouvelles mesures prises par les entreprises.

La formation des salariés au RGPD

Cette année, 60% des entreprises ont formé leurs salariés. Sensibiliser les salariés à la réglementation du RGPD, est un avantage pour la sécurité des entreprises. La formation des collaborateurs permet aux entreprises d’instaurer des réflexes et des bonnes pratiques. Il s’agit, d’une façon pérenne, de démontrer l’engagement des structures au respect du RGPD.

Surprenant : Les séminaires dédiés RGPD, les formations professionnelles et le e-learning sont des leviers encore très peu utilisés par les entreprises.

RGPD instaurer des réflexes et des bonnes pratiques

La digitalisation des données personnelles

Les résultats sont encourageants mais encore trop d’entreprises réalisent leurs registres sous forme de tableur Excel.

Au sein des entreprise, le RGPD est vécu comme :

Devoir de transparence & marque de respect 22%
Contrainte technique et/ou juridique 27%
Obligation règlementaire juridique 32%

Pour conclure, il existe différents outils à mettre en place pour respecter le RGPD. Des choses simples, comme la formation des salariés est primordiale et essentielle. Le bilan des 3 ans est positif, les entreprises évoluent. Elles ont compris l’importance de sécuriser leurs données.