À partir de mai 2018, toutes entreprises devront être en conformité avec le nouveau Règlement Général sur la Protection des Données (RGPD). La mise en place de ce règlement européen va faire disparaître de nombreuses formalités auprès de la CNIL. En contrepartie la responsabilité des organismes sera renforcée. Chaque entreprise devra alors assurer une protection optimale des données et être en mesure de la démontrer. Pour plus de renseignements la CNIL met à disposition une fiche de préparation.
Les obligations du RGPD
Le RGPD repose sur 3 obligations : la mise à jour précise des dossiers clients, la capacité de démontrer la conformité, la notification des violations. Un processus qui rend la mise en œuvre du RGPD et la suppression des données, stratégique.
En tant qu’entreprise, pour assurer la conformité de cette réglementation vous devez intégrer les bases d’une bonne gestion des données. Pour assurer que la suppression des données soit effectuée et fasse partie de votre stratégie de mise en conformité du RGPD.
Comment reconnaître les données concernées et identifier un traitement à caractère personnel ?
Les principes fondamentaux du RGPD applicables aux entreprise
- Le principe du consentement. Les entreprises doivent l’obtenir du citoyen/client. Et cela dès la conception des données. Et même avant avec la nouvelle règle de la sécurité par défaut qui impose aux entreprises de disposer d’un système d’information sécurisé.
- Le droit à l’oubli. Il impose à l’entreprise l’obligation d’effacer les données à caractère personnel sous plusieurs motifs, et cela dans les délais les plus brefs. Le citoyen européen peut également s’opposer au profilage via des traitements automatisés.
- Le droit à la portabilité des données personnelles. Les personnes pourront obtenir communication, dans un format lisible et structuré, des données personnelles les concernant. Au-delà de la communication des données, il autorise leur transfert vers d’autres acteurs, sous réserve que cela soit techniquement possible.
- La nomination d’un DPO. Le DPO (Data Protection Officer) ou Délégué à la protection des données doit être intégré au processus de mise en conformité. Sa mission est de répondre aux questions relatives à la protection des données personnelles dans les entreprises privées comme les organisations publiques.
(sources)
Les entreprises devront suivre les 8 étapes de la mise en conformité :
Le processus de mise en conformité et les autres modalités liées à l’application du RGPD, ont été évoqués chez Almeria lors de l’événement Almerial. Les 8 étapes de la mise en conformité avaient alors été présentées par Digitemis, notre intervenant et expert juridique.
N’hésitez pas à nous poser des questions en commentaire !
Bonjour, les associations et fondations caritatives sont-elles soumises au RGPD? Y-a-t-il un seuil minimal du nombre de donateurs / adhérents.
Merci
Bonjour Monsieur Gentais,
Les associations et fondations caritatives sont soumises au même titre que les entreprises au RGPD. Cette réglementation concerne toutes les structures recueillant et traitant des données personnelles (nom, prénom, email, adresse, numéro de téléphone, …) quel que soit son statut juridique.
En revanche, nous ne pouvons répondre avec certitude à votre deuxième question et nous vous conseillons de vous tourner vers un organisme juridique pour vous accompagner dans la mise en oeuvre de cette nouvelle réglementation.
Cordialement,
L’équipe Almeria