Mon-entreprise-respecte-le-RGPD

Est-ce que mon entreprise respecte le RGPD ?

Pourquoi le RGPD ?

L’année prochaine verra l’application du Règlement Général sur la Protection des Données (RGPD) pour les entreprises qui collectent des données personnelles : nom, prénom, adresse, carte de paiement, numéro de téléphone, photo, etc. Ce nouveau texte européen sur la protection des données à caractère personnel (c’est-à-dire qui se rapportent à une personne physique) adopté le 27 avril 2016 par le Parlement européen et le Conseil de l’Union européenne, entrera en vigueur le 25 mai 2018.

Ses quatre principaux objectifs sont   :

  1. 1. de renforcer les droits des personnes,
  2. 2. de responsabiliser les acteurs qui traitent des données,
  3. 3. d’accroitre la sécurité numérique au sein de l’Union européenne,
  4. 4. de permettre à chacun de protéger ses informations personnelles et professionnelles.

 

Les entreprises qui traitent des données personnelles et qui ne respecteraient pas le RGPD risqueront des sanctions et une amende équivalente à 4% de leur chiffre d’affaires.

Mais à quoi doit servir précisément le Règlement Général sur la Protection des Données ? Et bien précisément à empêcher que les données personnelles collectées par une entreprise au travers de son site web, de son application pour smartphone, ou encore de son service client soient utilisées à d’autres fins que ce à quoi elles sont prévues.

Dans un article publié en septembre dernier sur The Guardian, une journaliste inscrite sur le célèbre service de rencontre « Tinder » depuis 2013 a demandé à recevoir ses données personnelles. Elle a ainsi reçu l’équivalent de 800 pages d’informations la concernant : ses photos (Instagram, Facebook), ses messages, ses préférences, la géolocalisation, son nombre d’amis sur facebook, la moyenne d’age et le type d’hommes avec lesquels elle avait « matché ».  etc.

Si toutes ces informations sont supposées permettre à Tinder d’aider ses utilisateurs aider à « rencontrer l’amour », la journaliste fut « effrayée » de découvrir comment « Tinder » la connaissait parfaitement bien, voire même, mieux qu’elle ne se connaissait elle-même.

Le risque pour les citoyens est que ces données soient vendues ou utilisées à d’autres fins, mais surtout qu’elles soient dérobées en cas de piratage. Ainsi, en 2016, 70 000 profils du site de rencontre « Ok Cupid » ont été dérobés et se sont retrouvés publiquement disponibles sur internet, dévoilant ainsi les informations intimes de ses utilisateurs.

Le RGPD a donc vocation à responsabiliser les entreprises qui collectent des données personnelles, et à prendre conscience de leur criticité, afin de prendre les mesures nécessaires pour assurer la sécurité de ces données. Rappelons que lors de la  conférence Fraude et Cybercriminalité du 22 juin, nous évoquions le fait que 80% des entreprises avaient déjà subies une cyberattaque.

Mon entreprise est-elle concernée par le RGPD ?

Si une entreprise, quelle que soit sa nationalité ou son domaine d’activité, collecte des données sur des citoyens européens, alors elle devra respecter  le Règlement Général sur la Protection des Données. Autant dire qu’une très large proportion des entreprises et des organisations du monde entier devront respecter ce règlement, même si leur modèle économique, ou leur activité principale ne s’articule pas sur la collecte et le traitement de données personnelles.

Ainsi, même une PME spécialisée dans la production d’aliments à destination de la restauration hors foyer (RHF) devra se soumettre à la RGPD. En effet, il y a de forte chances que cette entreprise ait à gérer des informations personnelles sur ses collaborateurs, mais également sur ses fournisseurs, voire même sur les utilisateurs finaux de ses produits, qui pourraient être amenés à prendre contacts pour résoudre des problèmes de qualité de produit par exemple.

La taille d’une entreprise, son secteur d’activité et l’endroit où elle stocke des données personnelles ne rentrent pas en ligne de compte. Toute organisation qui  :

  1. 1. Effectue des traitements de données à caractère personnel,
  2. 2. Fait partie de l’Union européenne ou  qui soumet des biens et des services à des personnes qui se trouvent dans l’Union européenne.

doit respecter le Règlement Général de la Protection des Données.

Me préparer pour que mon entreprise respecte le RGPD

Pour que mon entreprise respecte le RGPD, il faut suivre quelques étapes de préparation, que nous reprenons ici de la Commission nationale de l’information et des libertés (CNIL) :

  1. 1. Désigner un pilote : ce délégué à la protection des données exercera une mission d’information, de conseil et de contrôle en interne.
  2. 2. Cartographier les traitements de données personnelles effectués par les entreprises : les noms, adresses et numéros de téléphone seront collectés et stockés de façon précises pour être recensés de façon précise.
  3. 3. Prioriser les actions à mener : en fonction des risques que font peser le traitement d’une entreprise sur les droits et les libertés des personnes.
  4. 4. Gérer les risques : en cas de risques élevés pour les droits et les libertés des personnes concernées, chaque entreprise devra analyser les impacts sur ces personnes.
  5. 5. Organiser les processus internes : pour qu’une entreprise prenne en compte la protection des données à tout moment, en s’appuyant sur l’ensemble des événements qui peuvent survenir lors de la vie d’un traitement (faille de sécurité, modification des données collectées, etc.).
  6. 6. Documenter la conformité : chaque entreprise devra constituer et regrouper la documentation nécessaire, documentation qui sera examinée régulièrement pour assurer une protection des données constante.
Franck Le Strat

Franck Le Strat

Corporate General Manager, isatech

Restons connectés

Nos derniers articles sur le sujet

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>