RGPD

Que faire pour se mettre en conformité avec le RGPD ?

Webmaster

La date de la mise en application effective du RGPD (Règlement Général sur la Protection des Données) approche à grands pas. En effet, à partir du 25 mai 2018, toutes les entreprises manipulant des données personnelles devront se mettre en conformité avec le nouveau règlement afin d’éviter des sanctions sévères. Voici un petit compte-rendu de ce qu’il faut faire pour se mettre en conformité avec le RGPD.

Respecter les principales obligations imposées par le RGPD

Le RGPD impose aux entreprises de nombreuses nouvelles obligations qu’il va falloir respecter scrupuleusement pour éviter d’être sanctionnées. Voici les principales d’entre elles :

  • Protéger les données dès leur conception : c’est l’application du principe privacy by design ;
  • Protéger les données par défaut : tout mettre en œuvre pour maximiser la protection des données. C’est l’application du principe privacy by default ;
  • Tenir un registre des traitements qui va donner un historique précis des traitements réalisés par l’entreprise. Ce registre prouve la conformité avec les normes du RGPD. De plus, il doit être systématiquement présenté à la CNIL en cas de contrôle ;
  • Procéder à la réalisation d’une étude d’impact sur la vie privée quand le traitement portera sur des données personnelles à caractère sensible (données de santé, information biométrique, orientation sexuelle, opinion politique…) ;
  • Demander conseil auprès de la CNIL avant de réaliser un traitement portant sur des données sensibles ;
  • S’assurer que les sous-traitants sont bien en conformité avec la CNIL
  • Et si la loi l’oblige, désigner un Data Protection Officer. Ce dernier a pour fonction de veiller à la mise en application des dispositions du RGPD au sein de l’entreprise. Il s’occupe également de relation de l’entreprise avec la CNIL.

Mettre en place des mesures qui garantissent le respect des droits des personnes

Les obligations ci-dessus sont pour la plupart liées à la protection des données. Et la sécurisation des données ne constitue qu’un point clé parmi tant d’autres du RGPD. Les dispositions les plus cruciales et les plus importantes sont celles qui traitent de la protection et du renforcement des droits et libertés des personnes. Ainsi, pour la mise en conformité RGPD il faudra :

  • Collecter les données intelligemment : avant d’utiliser les données personnelles d’une personne, il faut obtenir le consentement exprès de cette dernière. Au moment de la collecte, on devra préciser les finalités du traitement (principe de l’autorisation préalable, double opt-in) ;
  • Ne conserver les données que pendant une durée limitée : le RGPD prévoit que les données personnelles ne peuvent être conservées que pendant une durée déterminée. La durée de conservation d’une donnée dépend de sa nature ;
  • Mettre en place des mesures qui permettent aux personnes concernées d’exercer leurs droits (droit d’opposition, de rectification, d’accès, de portabilité et d’oubli). L’entreprise devra alors fournir les données qu’elle dispose sur la personne concernée, d’en modifier le contenu en cas d’erreur, et de remettre les informations dans un format utilisable sur toute machine. Le délai de réponse à une demande est de 1 mois.