RGPD #2 : Concrètement, que doit-on faire?

RGPD #2 : Concrètement, que doit-on faire?

Le RGPD est dans le questionnement de toutes les entreprises, mais concrètement, qu’est-ce qu’on doit faire?

Le RGDP, ou GDPR en anglais, est la nouvelle réglementation européenne qui légifère la collecte et l’utilisation des données personnelles. En France, elle est réglementée par la CNIL. Depuis quelques semaines, cet acronyme a pris de plus en plus d’importance dans l’actualité puisqu’il entrera en vigueur le 25 mai 2018. Toutes les entreprises sont concernées! Et il en va de même pour les comités d’entreprise, les administrations et les associations! Mais concrètement, que doivent mettre en place les entreprises pour être en règle avec le RGPD?

Commencez par nommer un DPO…

La nomination d’un DPO (Data Protector Officer) n’est pas une obligation pour toutes les entreprises. Cependant, elle est recommandée par la CNIL, afin de maintenir un niveau d’information et une régularité dans l’entreprise. Il aura pour mission de s’assurer de la mise en conformité des différents points du RGPD :

  1. Faire un état des lieux de ce qui existe déjà dans l’entreprise, des bonnes pratiques mises en place et des points d’amélioration.
  2. Tenir un registre des données qui devra comporter un certain nombre de critères (données enregistrées, durée, raison de la collecte, méthodologie, etc…).
  3. Faire une analyse d’impact des traitements pouvant induire des risques sur la sécurité des données.
  4. Et enfin, encadrer le transfert des données hors de l’Union européenne.

Il est à noter que la responsabilité du DPO, en cas de non-respect de la protection des données, ne sera pas engagée mais reportée sur le responsable de traitement.

La demande de consentement:

Mis à part quelques cas considérés comme consentements volontaires ou de facto, la demande de consentement est rendue obligatoire dans la majeure partie des cas. Veillez à :

  1. Mettre à jour vos CGV / CGU et veillez à y afficher très clairement une demande de consentement.
  2. Après chaque formulaire permettant de récolter ne serait-ce qu’une seule donnée personnelle, insérez une phrase demandant le consentement de la personne concernée, puis,
  3. Insérez une case à cocher qui validera la demande de consentement.

Le point particulier des cookies et traceurs: une demande de consentement doit impérativement être insérée si votre site Internet utilise ce type de technologie afin de demander le consentement de l’utilisateur.

Les conditions d’utilisation des données personnelles:

Enfin, il vous faudra mettre en place une politique de transparence sur l’utilisation des données que vous récolterez:

Chacun de vos contact doit avoir un droit de regard sur ses propres données personnelles et en garder la pleine propriété. Il doit pouvoir les consulter ou les modifier, mais aussi et surtout, il doit avoir la liberté de les effacer. Vous devez tenir informé chaque contact de ses droits:

  1. En mettant à disposition les conditions d’utilisation des données personnelles dans vos CGV/ CGU et mentions légales.
  2. En le stipulant avant même de récolter un consentement lorsque vous collectez des données personnelles.

Voilà, inutile de paniquer, tout est expliqué par la CNIL! 

Attention: les entreprises de mise en conformité au RGPD ont pullulé ces derniers mois. Mais, à ce jour, il n’existe aucune accréditation RGPD. La CNIL dénonce régulièrement ces agissements! Restez sur vos gardes!

Source chiffres acheteurs : CNIL, IBFY

Écrire un commentaire