ALCGAC_1
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
ALERTES & CONSEILS<br />
GESTION ADMINISTRATIVE ET COMPTABLE<br />
> > NOUVELLES TECHNOLOGIES - INFORMATIQUE<br />
RGPD : où en êtes-vous avec la démarche de conformité ?<br />
Pour le 25.05.2018, l’entreprise doit mettre en conformité ses traitements de données personnelles<br />
avec les nouvelles obligations du règlement général sur la protection des données (RGPD).<br />
Voici les éléments prioritaires à prendre en compte pour poursuivre cette démarche.<br />
Consentement des personnes<br />
Plus de droits pour les personnes protégées.<br />
La réglementation européenne du RGPD (règlement<br />
(UE) 2016/679 du 27.04.2016) repose sur un principe de<br />
base : l’obligation d’obtenir le consentement des personnes<br />
protégées.<br />
Une personne physique dispose désormais de sept<br />
droits vis-à-vis d’une société qui détient des informations<br />
personnelles la concernant afin de s’assurer du<br />
respect de la confidentialité et de la protection de sa vie<br />
privée : droit à l’information, droit d’accès, droit de<br />
rectification, droit d’opposition (au stockage et traitement<br />
de ses données), droit à l’oubli (effacement de<br />
données), droit à la limitation du traitement de ses<br />
données et droit à la portabilité des données (autorisation<br />
de transmission de données à un tiers).<br />
Protection de ces données par l’entreprise. Si<br />
dans le cadre de vos fonctions, vous collectez, stockez,<br />
gérez et traitez des données à caractère personnel<br />
concernant des personnes physiques (fichiers clients,<br />
prospects, fournisseurs et salariés de l’entreprise), dès<br />
le 25.05.2018, l’entreprise doit avoir débuté sa mise<br />
en place de mesures techniques et organisationnelles<br />
appropriées pour garantir un niveau de sécurité adapté<br />
au risque dans la détention et la manipulation de<br />
ses données, pour se conformer à la nouvelle réglementation<br />
du RGPD.<br />
Bon à savoir. Le RGPD ne change pas les règles dans<br />
vos pratiques marketing de prospection, que ce soit<br />
en B2B (information préalable et droit d’opposition<br />
lors de la collecte de l’adresse de messagerie) ou en<br />
BtoC (pas de publicité commerciale sans accord préalable<br />
explicite du consommateur lors de la collecte de<br />
son e-mail, sauf s’il est déjà votre client, c’est la<br />
pratique de l’opt-in actif). P.ex. dans un e-mailing, le<br />
consentement de l’internaute doit être recueilli par<br />
une case à cocher, non une case déjà cochée par<br />
défaut.<br />
Nouvelles obligations pour l’entreprise<br />
Conformité continue au RGPD. Vous n’avez plus<br />
à déclarer au préalable, auprès de la CNIL, les traitements<br />
ou fichiers de données personnelles de l’entreprise<br />
(déclarations ou autorisations). Mais vous<br />
devez désormais valider que toutes les données à<br />
caractère personnel que vous utilisez et conservez<br />
sont en conformité avec le RGPD.<br />
Vous devez assurer une protection optimale de ces<br />
données à chaque instant et être en mesure de<br />
démontrer leur conformité en continu.<br />
Votre démarche de conformité. Pour mettre<br />
l’entreprise en conformité avec la réglementation<br />
RGPD, six étapes sont préconisées par la CNIL :<br />
1. Désigner un délégué à la protection des données<br />
(DPO), en interne ou en externe (p.ex. un délégué<br />
prestataire extérieur), ayant des compé tences<br />
tech niques et juridiques. Il est chargé de piloter la<br />
mise en conformité des traitements de données<br />
personnelles, de s’assurer du respect constant de la<br />
réglementation et de réaliser des audits de sécurité<br />
périodiques.<br />
En pratique. Toutes les entreprises ne sont pas<br />
obligées de désigner un DPO. Seules y sont contraintes<br />
celles qui réalisent un suivi régulier et systématique<br />
des personnes à grande échelle ou qui traitent à<br />
grande échelle des données sensibles ou relatives à<br />
des condamnations pénales et des infractions. Il est<br />
conseillé de nommer un DPO qui n’est ni membre de<br />
la direction, ni responsable marketing, ni responsable<br />
RH et ni responsable du service informatique pour<br />
éviter tout conflit d’intérêts en cas de cumul de<br />
fonctions. Vous pouvez désormais désigner le DPO<br />
en ligne https://www.cnil.fr/fr/designation-dpo. Dans<br />
le cas où le DPO ne s’impose pas, l’entreprise a<br />
intérêt à nommer, parmi son personnel qualifié, un<br />
salarié qui s’assure du respect au quotidien du RGPD.<br />
Car dans l’entreprise, le seul responsable du traitement<br />
des données personnelles, c’est le dirigeant qui<br />
décide et met en place les traitements des données.<br />
Conseil. Pour mettre en place la démarche de<br />
conformité RGPD de l’entreprise, vous pouvez utiliser<br />
le guide gratuit de sécurité des données personnelles<br />
édité par la CNIL à disposition sur https://www.cnil.<br />
fr/fr/un-nouveau-guide-de-la-securite-des-donneespersonnelles.<br />
2. Recenser tous les traitements de données personnelles<br />
et élaborer un registre interne.<br />
En pratique. Pour mesurer l’impact du RGPD sur<br />
l’activité, il faut, au préalable, recenser précisément les<br />
différents traitements de données personnelles, les<br />
catégories de données traitées, les objectifs poursuivis<br />
par les traitements de données, les personnes (internes<br />
ou externes) qui traitent ces données et les flux<br />
d’origine et de destination des données. Il faut aussi<br />
identifier les prestataires sous-traitants pour mettre à<br />
jour les clauses de confidentialité dans vos contrats<br />
de prestation.<br />
À noter. Si l’entreprise a moins de 250 salariés, elle<br />
2 Mai 2018 - Numéro 1/18