WikiPME RGDP par Me Julien Fouray
PAUME PAR LE RGPD ?
LA CNIL vous aide … mais ne fait pas tout.
Le 25 mai 2018, le règlement européen sur la protection des données à caractère personnel entrera en vigueur.
Le Règlement Général sur la Protection des Données constitue désormais le texte de référence en la matière.
Il vient se substituer à la Loi du 6 Janvier 1978 dite Informatique et Liberté.
Il constitue un bouleversement sans précédent et impacte directement le traitement des données et les responsabilités qui s’y attachent.
Il concerne toutes les entreprises, organismes ou entités qui utilisent, conservent, gèrent et détiennent des données personnelles pour les besoins de leurs activités.
ll renforce et unifie la protection des données pour les individus au sein de l'Union européenne.
Il instaure une responsabilité directe et principale de tout responsable de traitements des données.
Il oblige à adopter un schéma organisationnel effectif au sein de l’entreprise pour prétendre s’y conformer.
Le régime d’autorisation/déclaration préalable aura bientôt vécu.
Un changement d’approche radical qui oblige les entreprises concernées à réaliser, sans attendre, un état des lieux de leurs traitements de données personnelles.
Depuis plusieurs mois, la Cnil met régulièrement en ligne, sur son site, des documents mais également des outils destinés à aider les entreprises à comprendre le nouveau cadre juridique et à se mettre en conformité.
Elle a notamment créé un descriptif des 6 étapes pour organiser le chantier de mise aux normes, une foire aux questions et des modèles de registres dans lesquels seront décrits chaque fichier, leur objectif et les mesures de sécurité qui viennent les protéger.
Détentrices de données à caractère personnel, les entreprises ont l’obligation d’en assurer pleinement la sécurité. Il s’agit notamment de déployer des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Il faut donc être en capacité d’assurer l’authentification des utilisateurs, la gestion des habilitations, la traçabilité et la gestion des incidents, la sécurisation des postes de travail, la sauvegarde des données, la gestion des sous-traitants ou encore la protection des locaux et le chiffrement des données.
Les outils CNIL sont utiles mais ne sont pas suffisants.
C’est l’ organisation de l’entreprise qui doit être mise en place ou remaniée profondément pour absorber l’ RGPD
On ne saurait trop recommander aux entreprises de s’inscrire dans une démarche de certification, complétée d’un audit et d’un accompagnement juridique compte de la complexité des questions traitées et des enjeux.
Pour mémoire, outre les sanctions pénales pouvant être appliquées par ailleurs, des amendes administratives de 2 à 4% du CA ou en millions d’euro sont prévues par le RGPD …
Réagissez à cet article