02/03/2018

RGPD : et si nous transformions une contrainte en une opportunité ?

Plus que quelques mois pour se préparer, se former et se mettre en conformité avec le nouveau règlement général de protection des données personnelles (RGPD). L’objectif du RGPD est de protéger la vie privée des consommateurs. Et s’il nous permettait aussi de challenger nos équipes sur nos process d’organisation, nos contrats, nos systèmes informatiques ?

 

Retrouvez notre interview de Marion Laget, consultante au sein de la société ANTANA qui est spécialisée dans les services informatiques, infrastructures, systèmes et réseaux.

 

VOLENTIS : Vous vous êtes investie dans le nouveau RGPD. Il ne nous reste que 3 mois avant le 25 mai 2018, date de son entrée en vigueur. Chez VOLENTIS, nous souhaitons que vous nous apportiez quelques précisions au moment où nombre d’entreprises sont dans le meilleur des cas en train de se mettre à l’œuvre ou, dans le pire, en train de découvrir les textes.

 

Pouvez-vous nous expliquer en quelques mots en quoi consiste le RGPD ?

 

Marion Laget : Le RGPD est le nouveau règlement européen de protection des données personnelles qui sera applicable le 25 mai 2018. En réalité, il s’agit d’une mise à jour des principes de la loi informatique et libertés, actuellement en vigueur. Jusqu’ici, il s’agissait d’une loi fondée sur les principes de déclaration et d’autorisation.

 

Demain, il s’agira d’une logique de responsabilisation – « accountability » : le responsable du traitement devra donc être capable de démontrer, en cas de contrôle de la Commission nationale de l’informatique et des libertés (CNIL), que toutes les mesures requises ont été prises pour garantir la sécurité lors des traitements des données personnelles en sa possession. Le RGPD apporte également une notion de co-responsabilité du responsable de traitement et des sous-traitants, renforçant ainsi la protection des données.

 

VOLENTIS : Qu’entendez-vous par donnée personnelle ?

 

Marion Laget : Sont considérées comme « données personnelles », toutes les données qui permettent d’identifier une personne physique en particulier, comme par exemple une adresse mail, un nom, un prénom, mais aussi un élément descriptif permettant de reconnaitre une personne dans un environnement donné.

 

Il est important de distinguer les données personnelles « simples » et les données dites « sensibles » dont la divulgation pourrait porter atteinte à la vie privée du concerné, comme des données médicales, religieuses, politiques…

 

VOLENTIS : Qui est donc concerné réellement par ce règlement ?

 

Marion Laget : TOUT LE MONDE ! Toutes les organisations basées dans l’Union Européenne et/ou amenées à traiter les données de citoyens de l’UE. À partir du moment où une société emploie un salarié, elle est concernée. En effet, pour établir la fiche de paie de son collaborateur, elle est en possession de données personnelles. Pire encore, elle possède le numéro de sécurité sociale de son collaborateur, qui est une donnée sensible !

 

VOLENTIS : Quelles sont les grandes étapes de la mise en conformité ?

 

Marion Laget : La première étape consiste à faire un état des lieux de l’existant en identifiant tous les traitements de données personnelles, informatiques ou papiers (n’oublions pas les archives papier !). Cette cartographie permettra d’évaluer les risques encourus, d’établir un plan d’actions et de mettre en place une politique privacy by design, c’est-à-dire que chaque nouvelle technologie traitant des données personnelles doit garantir dès sa conception et lors de chaque utilisation, le plus haut niveau de protection. Enfin, il faut prévoir un plan de réponse en cas de violation des données personnelles – lors d’un piratage par exemple – en communiquant auprès de la CNIL et des personnes concernées dans les meilleurs délais.

 

VOLENTIS : Quel est votre avis sur ce nouveau règlement ?

 

Marion Laget : Le RGPD va tous nous inciter à une maitrise plus fine de notre sécurité informatique, à plus de transparence et de traçabilité vis-à-vis de nos clients. L’objectif du RGPD est de préserver la vie privée des consommateurs. Selon moi, il faut accueillir ce règlement comme une opportunité de progrès, une remise à plat de nos process et nos systèmes informatiques.

Le RGPD doit entrainer un changement de culture d’entreprise dans la prise en compte de la protection des données personnelles, tant d’un point de vue juridique, organisationnel, que technique. Mais c’est aussi une occasion de se poser les bonnes questions concernant la protection des données de votre entreprise au sens large. Au-delà des données personnelles, n’êtes-vous pas en possession de données confidentielles dont la divulgation pourrait mettre en danger votre activité ? Ce nouveau règlement est donc l’occasion de challenger vos sous-traitants, tant sur la sécurité de vos systèmes informatiques que sur les systèmes de protection de vos locaux. En effet, il ne faut pas oublier la sécurité de vos supports physiques tels que vos serveurs, ordinateurs, ou même vos dossiers papiers.

 

VOLENTIS : En cas de contrôle, quels sont les risques encourus ?

 

Marion Laget : En cas de non respect du règlement, votre entreprise est passible d’une amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel.

 

À ce jour, il n’existe pas de certification.

 

Pour prouver votre conformité au règlement, il faudra donc regrouper les documentations liées aux traitements de données personnelles (registre de traitements de données en votre possession, analyse d’impacts en cas de violation), les documents d’information des personnes concernées (mentions d’information, recueil de consentements) et les contrats définissant les rôles et les responsabilités des acteurs de la chaîne (contrat des sous-traitants, conditions générales de ventes).

 

Dans un premier temps, la CNIL informe que « les contrôles opérés auront essentiellement pour but (…) d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes. En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points. »

 

Source : RGPD : comment la CNIL vous accompagne dans cette période transitoire ?

 

Le conseil des experts VOLENTIS Agricoles et Viticoles

 

En partenariat avec ANTANA, nous sommes à votre disposition pour vous aider dans vos démarches de mise en conformité avec le RGPD.

 

L’important est de se mettre en marche et de pouvoir démontrer que votre structure a engagé les actions nécessaires à sa mise en conformité avec la nouvelle réglementation.

 

Pour ce faire nous mettons à votre disposition :

 

1/ Un support d’information que nous pouvons venir vous présenter.

2/ La présentation d’outils qui permettent de mettre en œuvre le RGPD.

 

N’hésitez pas à nous contacter ou à nous appeler directement au 01 58 18 63 43 pour toute demande d’information sur le RGPD.

 

Pour en savoir plus :

 

CNIL. RGPD : se préparer en 6 étapes

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Une question ?

Un conseiller est à votre disposition.

Laissez-nous vos coordonnées, nous vous rappellerons très rapidement.