RGPD : comment se conformer au futur règlement ?

Share Button

RGPD : comment se conformer au futur règlement ?

C’est en mai prochain que le tant attendu Règlement Général sur la Protection des Données (RGPD) entrera en vigueur. Alors que de lourdes sanctions financières sont prévues pour les entreprises non conformes, il existe des règles simples à prendre en compte afin de respecter la loi. Explications.

 

Selon une étude publiée par Poofpoint en décembre dernier, ce sont plus d’une entreprise sur cinq qui ne seraient pas en règle avec le Règlement Général sur la Protection des Données lorsque ce dernier entrera en vigueur fin mai 2018. Alors que des sanctions financières très lourdes ont été prévues – allant jusqu’à 4% du Chiffre d’Affaires de la société dans certains cas –, un grand nombre de sociétés aurait prévu de limiter drastiquement l’exposition à la dite loi plutôt que de se mettre réellement en conformité. Et pourtant, des conseils simples existent pour couvrir le risque. BNP Paribas vous propose le tour de la question.

 

Enjeu #1 : avez-vous votre Data Protection Officer ?

Le rôle du DPO est d’être, suivant l’article 37 du RGPD, un garant du respect de la législation en matière de protection des données. Ce poste doit impérativement être créé dans le cas d’entreprises qui assurent le suivi régulier ou systématique des personnes mais également dans l’éventualité où ces dernières traitent des données sensibles à grande échelle. Derrière cette obligation, il s’agit de s’adresser aux sociétés qui ont des démarches Marketing fondées sur les données, sur la localisation ou via des systèmes de fidélisation notamment. Pour créer cette fonction, plusieurs alternatives existent :

  • Faire évoluer le Correspondant Informatique et Libertés
  • Recruter un DPO en externe
  • S’associer, via la mutualisation avec d’autres entreprises, à un tel profil externe

 

Enjeu #2 : avez-vous un registre des traitements à jour ?

Dans le cas où la CNIL en ferait la demande, un registre des traitements à jour doit pouvoir être fourni à l’autorité compétente par l’entreprise. Ce sujet concerne en premier lieu les grands groupes, mais les PME sont également concernées dès lors que le traitement des données pourrait avoir un impact sur les droits et libertés des clients, prospects ou partenaires. Il s’agit donc ici de savoir quelles sont les données récoltées par l’entreprise, quel est leur traitement et pour quel objet, et enfin où les données sont-elles hébergées et ce, jusqu’à quand.

 

Enjeu #3 : avez-vous un dispositif pour notifier d’éventuelles fuites ?

La portée de cette obligation porte autant sur l’entreprise que sur ses sous-traitants. Dans l’éventualité où un manquement à la confidentialité de certaines données serait constaté, le sous-traitant devrait par exemple dans les meilleurs délais notifier à l’entreprise ce dernier ainsi qu’en évaluer la portée et la gravité. Suite à cette notification, l’entreprise dispose de 72 heures au plus pour notifier la CNIL, puis avertir, dans les meilleurs délais là encore, les personnes qui ont été susceptibles d’avoir été concernées par cette atteinte à leurs informations et données. Pour faire face à ce point, il est essentiel de créer des procédures internes en matière de gestion des risques afin d’être armé en cas de difficultés.

Les études d’impact sont également un enjeu fort pour être en conformité avec le RGPD. Le but est d’identifier les canaux éventuels par lesquels des fuites de données pourraient être possibles et anticiper les impacts ou risques de violation qu’elles pourraient entraîner.

Pour vérifier l’état d’avancée ou de retard de votre société, des diagnostics personnalisés ont été créés – avec notamment un formulaire composé de 50 questions accessible ici.

 

En savoir plus.

Crédit photo : CCI Lyon.

Share Button

ARTICLES SIMILAIRES

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 
FERMER
CLOSE