RGPD : où en sommes-nous ?

Tout d’abord, le RGPD, Règlement Général sur la Protection des Données, est une directive européenne qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne. Il est entré en application le 25 mai 2018. Le RGPD oblige toutes les entreprises et les administrations à respecter certaines règles concernant le traitement des données à caractère personnel. Le RGPD est une continuité de la Loi française Informatique et Libertés de 1978, établissant des règles sur la collecte et l’utilisation des données sur le territoire français.

Il a été conçu autour de 3 objectifs :

• Renforcer les droits des personnes;

• Responsabiliser les acteurs traitant des données;

• Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

Par ailleurs, les données personnelles correspondent à toutes les informations relatives à une personne physique identifiée ou identifiable. Par exemple : un nom, un prénom, un numéro de téléphone, une adresse IP, une carte de paiement, une plaque d’immatriculation, des caractéristiques relatives à l’identité physique, génétique…

Ce registre, vous permettra d’obtenir une vision globale sur les traitements de données au sein de votre entreprise. Pour ce faire, vous devez identifier les activités de votre structure qui utilisent des données personnelles, par exemple : recrutement, la gestion de la paie, la gestion des badges et des accès, les statistiques de ventes, la gestion des prospects…

Sur ce registre des thèmes sont à préciser comme :

• L’objectif poursuivi, par exemple la fidélisation du client
• Les catégories de données utilisées, comme pour la paie : nom, prénom, date de naissance…
• Qui a accès aux données, par exemple : les services RH, informatique, la direction…
• La durée de conservation de ces données : la durée de conservation en archive et la durée de l’utilisation des données.

C’est l’occasion d’améliorer les pratiques de votre entreprise.

Vous devez aussi contrôler que les données que vous traitez soient nécessaires à votre activité. Mais aussi, que vous n’utilisez aucune donnée dite « sensible ». Si c’est le cas, que vous avez bien le droit de les traiter. Définissez ou redéfinissez qui doit pouvoir accéder à quelles données au sein de votre structure.

Informez et permettez aux personnes d’exercer facilement leurs droits. Le RGPD oblige la transparence et l’information des personnes dont vous manipulez les données.

Vous devez prendre des mesures pour sécuriser la data que vous utilisez.

Nous vous avons créé une liste de choses simples à mettre rapidement en place pour réduire les risques de pertes ou de piratage :

• Mettre à jour vos antivirus et logiciels
• Choisir des mots de passe d’une complexité suffisante
• Chiffrer vos données
• Faire des sauvegardes

Toutes les entreprises et organisations publics doivent nommées un DPO, Data Protection Officer. Cette personne est en charge de la mise en conformité du RGPD au sein de la structure.

Le délai maximum de notification d’une violation de données à risques auprès de la CNIL est de 72h.

Avec le RGPD, le montant des sanctions peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

En France, la première sanction remarquable a été prise à l’encontre de Google en janvier 2019. La CNIL estime que l’entreprise américaine commet 3 manquements : Accessibilité et clarté de l’information et absence de consentement valable pour la publicité personnalisée. Une sanction de 50 millions d’euros est infligée au géant américain par la CNIL. Toutefois, Google a annoncé un recours devant le conseil d’Etat.

3 ans après la mise en place du RGPD, le bilan est positif !

1 entreprise sur 2 estime avoir atteint un bon niveau de conformité.

La situation sanitaire aura finalement été favorable pour le RGPD notamment sur les données personnelles. Les entreprises et organismes publics sont près de la moitié à estimer avoir un niveau de complétude supérieur à 70%.

Cette année, les entreprises ont accéléré et renforcé leur sécurité. La multiplication des risques liées aux cyberattaques, les sanctions émises par la CNIL et la sécurité des données ont instauré de nouvelles mesures prises par les entreprises.

Cette année, 60% des entreprises ont formé leurs salariés. Sensibiliser les salariés à la réglementation du RGPD, est un avantage pour la sécurité des entreprises. La formation des collaborateurs permet aux entreprises d’instaurer des réflexes et des bonnes pratiques. Il s’agit, d’une façon pérenne, de démontrer l’engagement des structures au respect du RGPD.

Surprenant : Les séminaires dédiés RGPD, les formations professionnelles et le e-learning sont des leviers encore très peu utilisés par les entreprises.

Les résultats sont encourageants mais encore trop d’entreprises réalisent leurs registres sous forme de tableur Excel.

Pour conclure, il existe différents outils à mettre en place pour respecter le RGPD. Des choses simples, comme la formation des salariés est primordiale et essentielle. Le bilan des 3 ans est positif, les entreprises évoluent. Elles ont compris l’importance de sécuriser leurs données.