Le 25 mai ne sera pas une date couperet annonciatrice d’une pluie de sanctions

Ce n’est pas nous qui l’affirmons.
Cette phrase, extraite d’un entretien publié par le quotidien Les Echos, a été prononcée par Isabelle Falque-Pierrotin qui n’est autre que la présidente de la CNIL depuis 2011.

« Nous continuerons d’accompagner les entreprises pendant plusieurs mois » a-t-elle ajouté, car « un certain nombre d’entreprises ne seront pas prêtes », la mise en conformité RGPD étant « lourde et exigeante », particulièrement pour les petites entreprises.

Qu’on soit le 26 mai, le 15 juin ou plus tard, il n’y a donc aucune raison de paniquer !

Passez à l’action

Pas de panique donc mais il est plus que temps de passer à l’action si vous ne l’avez pas déjà fait. Si le 25 mai 2018 n’est pas une date couperet, il n’en demeure pas moins qu’il est important, même essentiel, de s’inscrire dès aujourd’hui dans l’esprit de cette réforme.

Pour bénéficier de la compréhension de la CNIL, encore faudra-t-il avoir engagé le processus de mise en conformité. En tant qu’organisme qui collecte des données, votre responsabilité sera renforcée. Vous devrez en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

Le RGPD vous paraît Lourd ? Complexe ? Difficile à mettre en oeuvre ? En fait, il faut considérer cette réforme comme une excellente occasion de faire le tri dans vos collectes de données et de remettre d’équerre votre gestion de celles-ci.

Par où commencer ?


Pour la mise en conformité RGPD, Editioneo travaille avec le cabinet MMT Avocats, cabinet d’avocats 3.0 !

Bénéficiez d’un diagnostic préalable sur 5 points :

  • Mentions légales
  • Données personnelles
  • Cookies
  • CGV / CGU
  • Propriété intellectuelle

Un diagnostic précis, c’est l’assurance de diriger votre action de mise en conformité RGPD avec efficacité.


 

Les grandes étapes de la mise en conformité :

  1. Désignez un « pilote » : le délégué à la protection des données

    Dans une petite structure, ce rôle sera généralement endossé par le « responsable informatique » qui sera parfois le chef d’entreprise ou le e-commerçant. Dans une structure un peu plus élaborée, il peut être utile de désigner un DPO même si ce n’est pas obligatoire. Il sera le chef d’orchestre, le point de repère, le référent (interne) en matière de protection des données. Ce DPO est néanmoins obligatoire si vous êtes :

    • un organisme public ;
    • ou une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
  2. Constituez un registre de vos traitements de données

    Avant de savoir quoi faire, il convient de faire un état des lieux de l’existant. Il va falloir établir un registre listant vos différents traitements de données personnelles. Pour chaque traitement de données il faudra se poser les 6 questions (et bien sûr y répondre) :

    • Qui ?
    • Quoi ?
    • Pourquoi ?
    • Où ?
    • Jusqu’à quand ?
    • et Comment ?
  3. Faites le tri dans vos données

    Ne conservez que les données indispensables pour lesquelles vous pouvez justifier la collecte par un usage précis, défini et documenté.

  4. Jouez la carte de la transparence

    Vos utilisateurs doivent être en mesure de connaître leurs droits sur les données que vous possédez les concernant grâce à l’information que vous leur fournissez. La mise en oeuvre de ces droits doit être simple pour vos clients, collaborateurs, prestataires, etc. Le processus interne de traitement de ces demandes doit être défini, documenté et mis en oeuvre dans des délais courts (de l’ordre d’un mois maximum).

  5. Assurez la sécurité de vos données

    Mettez en place des moyens techniques mais aussi un processus « humain » clair permettant selon les cas d’interdire, limiter, hiérarchiser les accès aux données. Définissez des procédures de détection d’incident ainsi que de sauvegarde et de restauration des données en cas d’incident.

  6. Assurez-vous de votre conformité en vérifiant votre documentation

    Vous êtes (enfin) en conformité avec le règlement (RGPD) ? C’est bien mais vous devez être en mesure de le prouver ! Les processus mis en place et la documentation créée à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection continue des données. Tranquillisez-vous avec un audit complet post-modifications. Contactez-nous pour plus de renseignements sur cet audit.

 

Nous consacrerons un article à chacune de ces étapes. Retrouvez le détail de chaque étape dans les articles suivants.


Attention : à compter du 25 mai 2018, quelle que soit votre situation, si votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données), vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL. De plus, si ces risques sont élevés pour ces personnes, vous devrez les en informer.

Articles liés à ce sujet :