Aller au contenu principal
Conseils en solutions & logiciels CRM pour entreprise et PME - Blue note Systems

GDPR ou RGPD : C'est quoi ?

GDPR signifie General Data Protection Regulation en Anglais soit Règlement Général sur la Protection des Données (RGPD).

Le Règlement Général sur la Protection des Données (RGPD) est le nouveau texte de référence Européen en matière de protection des données personnelles.

Application du règlement : qui est concerné ?

Décidé en décembre 2015, le RGPD, le règlement s'appliquera dès 2018 à tous les acteurs qui collectent de quelle manière que ce soit des données personnelles, que soient des contacts clients ou prospects : entreprises, associations, administrations, collectivités locales et syndicats entreprises.

Quelles sont les principales obligations pour les entreprises ?

  • La gestion des données personnelles doit se faire avec l'approbation de la personne.
  • Les personnes doivent pouvoir contrôler leurs données : droit de rectification et droit à l'oubli.
  • La collecte des données doit se faire en fonction des besoins réels de l'entreprise : limitation des finalités. Les données collectées et leur utilisation doivent répondre à un objectif précis et clair. Des procédures de suppression des données anciennes et de sécurité doivent être mises en place pour limiter la conservation et préserver l'intégrité et la confidentialité.

Les obligations du règlement RGPD supposent qu'une entreprise doit à tout moment savoir de quelles données elle dispose, leur localisation, l'objectif de leur collecte et leur mode de gestion, de stockage, de sécurisation, de transfert et d'effacement. Par ailleurs, elle doit être en mesure de déceler si leur intégrité a été compromise et y remédier promptement, tout en consignant et notifiant l'événement.

Quelles sont les sanctions prévues an cas de non-conformité ?

Le règlement RGPD prévoit deux niveaux de sanctions, pour les entreprises, en cas de non-respect :

  • Des amendes administratives pourront s'appliquer pour un montant allant de 10 à 20 000 000 €,
  • ou bien 2 à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent (le montant le plus élevé étant retenu).

Comment se préparer au RGPD ?

Etapes Description
Désigner un délégué de la protection des données (DPO) et définir ses missions.

Le data protection officier ou délégué de la protection des données a un rôle de conseil. Sa mission consiste à s'assurer que l'entreprise est en conformité avec la loi lorsqu'elle fait usage des données. Il est donc amené à travailler avec les différentes directions métier. 

Il est notamment conseillé d'informer et éduquer l'ensemble des salariés de l'entreprise sur les procédures à respecter dans la collecte et le traitement des données personnelles.

La nomination d'un DPO est obligatoire si votre organisation appartient au secteur public ou si l'activité de votre entreprise implique le suivi régulier et systématique des données d'individus à grande échelle ou encore si l'activité de votre entreprise implique la gestion à grande échelle de données personnelles sensibles. Si votre entreprise n'est pas dans l'obligation de désigner un délégué à la protection des données, il est fortement recommandé de demander à une personne d'assurer de la mise en conformité au RGPD.

Tenir un registre des collectes et traitements des données.

Les entreprises de plus de 250 salariés doivent obligatoirement tenir un registre actualisé de tous leurs traitements de données personnelles.

Dans tous les cas, il est conseillé de recenser et tenir à jour les informations suivantes :

  • Les différents traitements de données personnelles.
  • Les catégories de données personnelles traitées.
  • Les objectifs poursuivis par les différentes opérations de traitements de données.
  • Les acteurs (internes ou externes) qui traitent ces données (voir sous-traitants).
Identifier les données sensibles.

Vous devez vérifier les données en votre possession :

  • Quelles données personnelles détenez-vous actuellement ?
  • Quelles sont les origines de ces données ?
  • Quelles sont les faiblesses potentielles de votre gestion des données ?
  • Où sont stockées vos données ? 
Définir les procédures de garantie des droits des personnes : approbation, droit à l'oubli.

L'entreprise doit obtenir le consentement explicite des personnes concernées par le traitement et pouvoir en apporter la preuve. Le droit à l'oubli oblige le responsable du traitement à garantir aux individus qui lui en feront la demande que leurs données seront bien supprimées dans le délai fixé.

Par ailleurs, vous devez être en mesure de transmettre les données personnelles à la personne qui en ferait la demande, dans un format lisible et structuré.

Vérifier les contrats des sous-traitants.

Le règlement met fin à l'immunité des sous-traitants en introduisant un principe de coresponsabilité. Vous devez vous assurer que vos sous-traitants sont bien engagés sur la voie de la conformité en insérant des clauses contractuelles rappelant leurs nouvelles obligations :

  • Vérifiez si vous avez des sous-traitants pour la gestion des données.
  • Vérifiez vos contrats pour comprendre où vos données et applications sont stockées et si elles sont traitées en dehors de l'Union Européenne.
  • Demandez à vos prestataires s'ils sont conformes au règlement RGPD.
Rédiger une charte de bonnes pratiques. Une charte permet de rappeler aux employés un certain nombre de bonnes pratiques ainsi que les sanctions encourues en cas de non-respect de la loi. Par ailleurs, un salarié ne peut accéder ou supprimer des informations ne relevant pas de sa fonction ou enregistrer des données sur un support externe sans accord de sa hiérarchie. Il doit aussi respecter les règles de sécurité définies par le service informatique.
Se préparer au risque de perte ou vol de données

L'entreprise doit mettre en place une procédure de management des risques pour détecter, signaler et investiguer en cas de violation des données que vous traitez.

Vous devez notifier la CNIL si possible dans les 72 heures après avoir pris connaissance d'une fuite de données. Vous devez également avertir rapidement les personnes concernées quand la fuite présente un risque élevé pour leurs droits et libertés tel que le vol de mots de passe ou le vol de numéros de cartes bancaires.

Pour en savoir plus, vous pouvez vous référer au différents articles officiels et/ou nous contacter.

Le Règlement GDPR définit une nouvelle étape importante pour les droits à la vie privée, la sécurité et la conformité. Le respect de cette réglementation nécessite des investissements importants dans la gestion des données et leur protection pour un très grand nombre d'organisations et d'entreprises. Les entreprises doivent s'assurer que les données personnelles au sein de leurs systèmes qui participent aux traitements de ces données sont correctement traitées et protégées selon les principes du GDPR. Cela signifie que de nombreuses entreprises doivent réviser ou modifier leurs procédure de traitement de données.

Blue note systems possède une expérience dans le traitement des données. Cette expérience se traduit au travers de prestations de conseil, audit, et d’options de services proposés par Blue note systems qui peuvent aider les clients de Blue note systems à respecter les objectifs et les exigences de protection de la vie privée du GDPR pour leurs traitements de données.

Blue note systems respecte le règlement RGPD (Règlement Européen sur la Protection des Données).

Mis à jour le