A seulement 6 mois de la date d’application définitive du RGPD (en anglais GDPR: EU Generic Data Protection Regulation) nous vous proposons de faire un état des lieux au travers d’une infographie publiée par ComputerWeekly et TechTarget.
La date est fixée : 25 Mai 2018
La date d’obligation de mise en oeuvre totale des exigences de la réglementation européenne sur la protection des renseignements personnels ne changera pas. Elle est fixée au 25 Mai 2018 pour toutes les organisations concernées. Et il est maintenant clair que le BREXIT ne permettra pas de report de cette date butoir. Il faut dire que cette réglementation est entrée en vigueur en mai 2016. Un délai de grâce de deux ans a été accordé aux organisations pour se mettre en conformité. Hélas, comme pour les autres projets de mise en conformité, les Entreprises ont attendu le dernier moment! Aujourd’hui le compte à rebours s’égraine inexorablement et il reste beaucoup de choses à faire.
Quelques exigences clés du RGPD à satisfaire
Recrutement d’un Délégué à la Protection des Données (DPO)
Le RGPD impose que les autorités publiques et certaines entreprises traitant des données personnelles doivent recruter un Délégué à la Protection des Données (DPO – Data Protection Officer) dans le cadre de leur mise en conformité. A ce jour, cela représente près de 28.000 DPOs à recruter dans les deux prochaines années en Europe. Le nombre de DPOs à recruter dans les deux ans est d’environ 75.000 au niveau mondial. Or aujourd’hui ce type de profil n’existe quasiment pas sur le marché. Le DPO n’est en aucun cas un informaticien comme le croient beaucoup de gens. C’est d’abord un juriste qui doit avoir quelques connaissances informatiques en plus de ses connaissances en droit.
Art. 37 : Le Délégué à la Protection des Données est désigné sur la base de ses qualités professionnelles et en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de sa capacité à accomplir les missions visées à l’article 39…
En vue de répondre aux besoins du marché dans les prochains mois, certains organismes de certification ont d’ores et déjà mis en place des cursus de formation et de certification de DPO. C’est le cas d’EXIN dont AB Consulting est partenaire. Nous proposons donc dès maintenant les formations Protection des données et des renseignements personnels PDP Foundation et PDP Practitioner d’EXIN qui aboutissent à la certification « Data Protection Officer Certified« .
Evaluations régulières d’impact sur la protection des données personnelles (DPIA)
Une évaluation régulière d’impact sur la protection des données personnelles (DPIA) est maintenant imposée. Cette évaluation d’impact entre dans le cadre plus général d’une évaluation du risque. Elle doit être incluse dans le système de management mis en oeuvre au niveau de l’organisation.
Obligation de consentement explicite lors de la collecte des données
Le texte du RGPD stipule l’obligation de recueillir le consentement de la personne concernée par les données personnelles soumises au traitement. Ce consentement doit être recueilli avant toute action sur les données. Il consiste en une manifestation de volonté libre, spécifique (limitée en matière de contenu du traitement, éclairée et univoque de la personne concernée. Ce consentement doit être un acte positif clair. Ceci implique qu’une simple case cochée en bas d’un formulaire ne suffit plus.
Là encore, la procédure de consentement doit être documentée et appliquée dans le cadre d’un système de management mis en place.
Notification des violations
En cas de violation de données à caractère personnel, le responsable du traitement doit en faire la notification à l’autorité de contrôle de son pays dans un délai maximal de 72 heures. Dans le cas où cette obligation ne serait pas respectée, une justification argumentée doit être soumise.
Portabilité des données personnelles
Les personnes concernées par les données personnelles collectées par une Entreprise ont le droit d’obtenir la communication de ces données dans un format structuré couramment utilisé et lisible par machine et ont le droit de les transmettre à une autre organisation sans que le responsable du traitement y fasse obstacle… (Article 20)
Une politique formalisée sur la protection des données personnelles
Le RGPD impose aux organisations concernées d’avoir des « règles contraignantes d’entreprise » (Article 4). Ces règles contraignantes se présentent sous la forme de « politiques sur la protection des données personnelles ». Dans la pratique, il convient de mettre en place un système de management. Celui-ci doit inclure les politiques, les processus et les procédures auxquelles doivent adhérer le responsable du traitement ainsi que son ou ses sous-traitants établis tant à l’intérieur de la communauté Européenne que dans un pays tiers. Bien entendu, l’ensemble des règles précédemment énoncées doivent être formalisées dans ce système de management.
6 étapes vers la conformité avec le RGPD
En vue de réussir à vous mettre en conformité avec le RGPD avant la date d’entrée en vigueur des sanctions fixée au 25 Mai 2018, il convient de lancer un projet d’entreprise. Celui-ci peut se décomposer en 6 étapes :
- Nommer un responsable général du projet (peut être interne ou externe à l’Entreprise),
- Elaborer une cartographie des données de votre organisation afin d’identifier les données personnelles,
- Evaluer les risques potentiels et prioriser les actions à entreprendre (périmètre, délai, coûts, ressources),
- Conduire une évaluation d’impact et planifier les plans de réponse aux risques identifiés,
- Documenter et mettre en place le système de management de données personnelles prévu par le règlement,
- Assembler la documentation afin de prouver votre conformité au RGPD/GDPR.
AB Consulting et 2AB & Associates comptent plusieurs experts du domaine susceptibles de vous accompagner pendant cette phase de mise en oeuvre.
Quels sont les risques en cas de non conformité au RGPD?
En cas de non conformité au RGPD, à compter du 25 Mai 2018, des amendes administratives pourront être appliquées. C’est l’autorité de contrôle compétente qui est en charge de les infliger. Et le montant de cette amende pourra atteindre des montant colossaux! En effet, elle peut s’élever à 4% du chiffre d’affaires mondial annuel avec un minimum de 20 millions d’euros.
Pour en savoir plus
Pouvons aider à y voir plus clair, nous vous proposons un certain nombre de ressources. Régulièrement, des wébinaires gratuits portant sur des points précis du RGPD vous sont proposés. Si vous êtes intéressés par ces wébinaires, n’hésitez pas à nous laisser un commentaire.
De plus, AB Consulting et 2AB & Associates vous proposent également plusieurs formations :
- RGPD/GDPR – Présentation Exécutive d’une heure trente environ spécifiquement conçue pour les Comités de Direction et les Conseils d’Administration
- RGPD/GDPR – Sensibilisation d’une journée pour l’ensemble des parties-prenantes concernées pour faire le tour complet des dispositions de la réglementation
- Certification RGPD/GDPR – Data Privacy Foundation d’une durée de deux jours pour le personnel des entreprises devant participer à un projet de conformité (certification EXIN)
- Certification RGPD/GDPR – Data Privacy Practitioner d’une durée de 3 jours pour les personnes souhaitant occuper un poste de DPO (certification EXIN)
- DPO certified d’une durée de 5 jours (composée de la certification et Practitioner) aboutissant à la certification officielle DPO Certified (certification EXIN)
De plus, régulièrement, vous pouvez nous retourner sur ce blog ou sur les réseaux sociaux.
Vous avez d’autres questions? Vous souhaitez savoir si votre entreprise est concernée? Alors, merci de nous laisser un commentaire et nous vous répondrons en ligne.