Est-il trop tard pour se conformer au RGPD ?
Le 25 mai est passé, mais vous n’avez pas encore terminé votre mise en conformité avec le RGPD ? Sachez que vous vous exposez aux sanctions relativement sévères de la nouvelle règlementation sur la protection des données. Malgré tout, il n’est pas encore trop tard. Mais vous ne devez pas vous reposer sur vos lauriers. Plus vite vous accomplirez votre mise en conformité, plus vite vous serez à l’abri des sanctions.
La CNIL sera peut-être indulgente avec vous
Le RGPD est entré en vigueur le 25 mai dernier. C’est le nouveau texte de référence dans l’UE quand il s’agit de données personnelles. Il vient remplacer une directive datant de 1995 et qui était clairement inadaptée aux nouvelles réalités : explosion du numérique, apparition de nouveaux modèles économiques, apparition de nouveaux usagers…
Le RGPD impose aux organisations de nombreuses nouvelles obligations. Et depuis le 25 mai, celles qui ne sont pas en conformité peuvent être sanctionnées. Au programme, des sanctions administratives, des sanctions pécuniaires et même des peines de prison. Néanmoins, en raison des difficultés que peut poser la mise en conformité avec le RGPD, la CNIL pourra se montrer indulgente avec les organisations qui prouvent leur volonté de se mettre en conformité et qui ont commencé à mettre en place les mesures nécessaires. On ne pourra cependant pas bénéficier de cette indulgence s’il y a eu une violation des données portant atteinte aux droits des personnes concernées.
Que faut-il faire pour se mettre en conformité rapidement ?
Même si vous avez la chance de bénéficier de l’indulgence de la CNIL, vous devrez tout faire pour vous mettre le plus rapidement possible en conformité avec le RGPD.
Inventorier les traitements
La première étape à franchir pour se conformer au RGPD est de réaliser un inventaire des traitements des données personnelles de l’entreprise. Il s’agira de recouper toutes les informations liées à la collecte et au traitement des données : nature des données, format, méthode de transfert, méthode de stockage… En résumé, l’inventaire des traitements vous permet d’avoir un état des lieux de votre organisation en matière de protection des données et permettra de tenir le registre obligatoire.
Revoir vos méthodes de collecte de données
Le RGPD donne une grande importance au consentement. Il impose aux entreprises d’obtenir le consentement exprès des personnes concernées avant de pouvoir collecter les données de ces dernières. De plus, la collecte doit être justifiée par une raison légitime. Finis donc les procédés qui avaient pour but principal de permettre à l’entreprise de collecter un maximum de données. À part cela, à partir de maintenant, les personnes concernées doivent être informées de l’usage qui sera fait de leurs données.
Mettre en place des mesures de protection des données plus efficaces
Le RGPD conseille fortement aux organisations de mettre en place des mesures de protection des données plus efficaces : pseudonymisation, chiffrage des données personnelles, mise à jour régulière des accès… De telles mesures vont permettre de dissuader les agents malintentionnés ou au moins de leur rendre la tâche difficile.
Former ses collaborateurs
Enfin, se mettre en conformité avec le RGPD vous oblige à sensibiliser vos collaborateurs sur l’importance de la protection des données personnelles. Vous ne devez donc pas lésiner sur les moyens pour les former. La mise en conformité est une démarche commune, mais non le résultat des efforts d’une seule personne.
On pourra évoquer aussi la désignation d’un DPO ou Délégué à la Protection des Données.