Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018 et a pour objectif de renforcer la protection des données personnelles des citoyens européens. Les entreprises doivent donc se conformer à ce règlement afin d’éviter des sanctions potentiellement lourdes. Dans cet article, nous vous proposons de faire le point sur les principales obligations liées au RGPD et comment les mettre en œuvre au sein de votre entreprise.
1. Désigner un délégué à la protection des données (DPO)
Première étape incontournable pour se conformer au RGPD, la désignation d’un Délégué à la Protection des Données (DPO) est obligatoire pour certaines entreprises. Il s’agit notamment des organismes publics, des entreprises dont les activités principales impliquent un suivi régulier et systématique des personnes à grande échelle, ou encore celles qui traitent des données sensibles à grande échelle.
Le rôle du DPO est d’assister et conseiller l’entreprise dans sa mise en conformité avec le RGPD. Il doit également veiller au respect du règlement en interne et être l’interlocuteur privilégié de l’Autorité de contrôle nationale (en France, la CNIL).
2. Tenir un registre des traitements de données
Pour être en conformité avec le RGPD, les entreprises doivent tenir un registre des traitements de données. Ce registre doit contenir une description précise de chaque traitement de données personnelles effectué par l’entreprise, ainsi que les finalités et la base légale de ces traitements.
Il est également important d’identifier les sous-traitants éventuels qui interviennent dans le traitement des données et de vérifier qu’ils respectent eux aussi le RGPD. Enfin, ce registre doit être tenu à jour régulièrement et être mis à disposition de l’Autorité de contrôle sur demande.
3. Mettre en place des mesures techniques et organisationnelles
Pour assurer la protection des données personnelles, le RGPD impose aux entreprises de mettre en place des mesures techniques et organisationnelles adaptées. Il peut s’agir, par exemple, de chiffrement des données, d’anonymisation ou encore de pseudonymisation. L’entreprise doit également veiller à limiter l’accès aux données aux seules personnes autorisées et former ses employés à la protection des données.
D’autre part, le RGPD prévoit une approche basée sur le principe de protection des données dès la conception (« privacy by design »). Cela signifie que la protection des données doit être prise en compte dès la conception d’un produit ou service impliquant le traitement de donnée
s personnelles.
4. Informer les personnes concernées
L’une des principales obligations du RGPD est d’informer les personnes dont les données sont collectées sur les traitements effectués. Cette information doit être claire, concise et transparente. Elle doit comprendre notamment :
- l’identité et les coordonnées du responsable du traitement et, le cas échéant, du DPO ;
- les finalités et la base légale du traitement ;
- la durée de conservation des données ou les critères permettant de déterminer cette durée ;
- les droits dont disposent les personnes concernées (droit d’accès, de rectification, d’effacement, à la portabilité des données, etc.) et les modalités pour exercer ces droits.
Il est important de veiller à ce que cette information soit facilement accessible et compréhensible par les personnes concernées.
5. Respecter les droits des personnes concernées
Le RGPD renforce les droits des citoyens européens en matière de protection de leurs données personnelles. Les entreprises doivent donc être en mesure de répondre aux demandes d’exercice de ces droits dans un délai d’un mois maximum. Parmi ces droits figurent :
- le droit d’accès aux données ;
- le droit de rectification des données inexactes ou incomplètes ;
- le droit à l’effacement (« droit à l’oubli ») ;
- le droit à la limitation du traitement ;
- le droit à la portabilité des données ;
- le droit d’opposition au traitement.
Pour faciliter l’exercice de ces droits, il est conseillé de mettre en place un processus et des outils dédiés.
6. Réagir en cas de violation de données
En cas de violation de données (vol, perte, divulgation involontaire, etc.), le RGPD impose aux entreprises d’informer l’Autorité de contrôle dans un délai de 72 heures maximum après en avoir pris connaissance. Si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, ces dernières doivent également être informées sans délai.
Pour prévenir les violations de données, il est recommandé de mettre en place une politique de sécurité adaptée et d’effectuer régulièrement des tests et audits.
En résumé, se conformer aux obligations du RGPD implique pour les entreprises un travail important d’analyse, de mise en place de mesures techniques et organisationnelles, ainsi que d’information et de respect des droits des personnes concernées. La désignation d’un DPO peut s’avérer très utile pour accompagner l’entreprise dans cette démarche et assurer une veille réglementaire. Enfin, il est essentiel d’intégrer la protection des données dès la conception des produits et services et de mettre en place une politique de sécurité robuste pour prévenir les violations de données.