Adopté par le Parlement européen, le 14 avril 2016, le RGPD ou le règlement général sur la Protection des Données est un règlement du Parlement européen qui s’applique dans tous les États membres de l’Union européenne. Il s’agit de la protection des personnes physiques à l’égard du traitement de leurs données personnelles et de la circulation de celles-ci. Et cette disposition est entrée en vigueur dans les 28 États membres de l’Union européenne le 25 mai 2018, en renforcement des lois sur l’Informatique et des Libertés de 1978. Toutes les entreprises sont concernées, quelle que soit leur taille. Comment est-ce que cette réglementation s’applique-t-elle au sein d’une entreprise ?
Le Délégué à la protection des Données
Il est nécessaire et obligatoire de désigner un délégué, qui sera lié directement à toutes les questions touchant à la protection des données à caractère personnel. Ses principales missions donc les suivantes :
- Veiller au respect du règlement.
- Assister et conseiller la personne en charge de la protection des données personnelles.
- Recevoir et répondre aux personnes qui souhaitent exercer leurs droits.
- Être un relais entre l’autorité de contrôle et les bénéficiaires du rgpd. Et aussi de veiller à la formation de tout le personnel à la culture de la protection des données.
Le Délégué à la Protection des Données (DPD) doit être une personne avec de solides connaissances et compétences en matières juridiques et informatiques, car il aura la lourde tâche de veiller au bon et strict traitement de données personnelles sensibles telles que des données biométriques, ou des historiques pénaux ou sanitaires des personnes. Et si jamais, il manque ces compétences en interne, il est encore possible d’externaliser la délégation en faisant appel à d’autres entreprises pour l’application et la gestion du RGPD 2018. Pour retrouver plus de détails sur le RGPD 2018, allez sur www.dpms.eu
Un plan de conformité
Pour que l’application du règlement se passe bien, il faut choisir et établir un plan de conformité, qui pourrait suivre les étapes suivantes :
Faire un recensement des données et de leurs traitements. À la suite de ce recensement, un registre des activités de traitement est obligatoire pour les entreprises de plus de 250 collaborateurs. Ce registre servira également à cartographier les données recueillies. Adopter des mesures techniques et organisationnelles pour la protection des données. Faire un suivi régulier et une documentation de la conformité.
Il se pourrait aussi qu’une analyse d’impact soit requise, dans le cas où le traitement des données présente des risques élevés d’atteinte aux droits et libertés des personnes physiques.
Le consentement
Le Règlement Général sur la Protection des données est applicable pour chaque individu au sein de l’Union européenne. Mais il doit être licite et consenti par la personne concernée. Donc, on doit recueillir le consentement de tous les collaborateurs au préalable. Mais il n’est pas vraiment obligatoire de les rassembler si l’utilisation des données est nécessaire au contrat ou au service. Par ailleurs, en parallèle avec le consentement du personnel, il est indispensable de prouver qu’on le respecte vraiment et que l’on applique un code de bonne conduite. Pour cela, il faut choisir et présenter une certification qui justifierait la volonté de l’entreprise de se conformer au règlement. Ce sont des organismes certificateurs agréés par la CNIL qui doivent délivrer ces certifications.
Depuis son entrée en vigueur le 25 mai 2018, on a relevé beaucoup d’ignorance quant à l’application de la loi rgpd. Beaucoup de tolérance aussi au niveau des organismes de contrôle. De ce fait, un système de sanctions a été instauré par la CNIL à l’encontre des organismes qui ne respectent pas les lois sur le traitement des données personnelles.