15/02/2018 
Actualité Juridique par Me Richard Rondoux

Droit économique - protection des données : J-100 pour le RGPD

Il ne reste que quelques semaines aux entreprises pour se préparer à la nouvelle réglementation européenne sur la protection des données. Ce règlement imposera de nouvelles obligations significatives aux entreprises qui gèrent des données à caractère personnel, ainsi que des sanctions sévères en cas de violation des règles, notamment des amendes pouvant atteindre 4 % du chiffre d'affaires.

Passage en revue par le cabinet BRG des 8 étapes de ce qu'il faut faire pour être fin prêt :

1. Analyser vos données

La première étape pour se mettre en conformité avec le Règlement Général sur la Protection des Données (RGPD) consiste à comprendre comment les données à caractère personnel sont stockées, traitées, partagées et utilisées au sein de votre entreprise.

Vous devrez, via un audit minutieux, comparer les pratiques en place avec les obligations issues du nouveau règlement, et identifier les changements nécessaires pour garantir la conformité de votre entreprise de la manière qui vous convient le mieux.

2. Déterminer la responsabilité de la protection des données : entreprise ou sous-traitant

Si certaines entreprises devront nommer un délégué à la protection des données, toutes devront adopter un programme de conformité en matière de protection des données.

3. Identifier la méthode mise en œuvre pour chaque base de données

L’entreprise devra examiner les fondements juridiques sur lesquels repose le traitement des divers types de données personnelles collectées. Si ce traitement repose sur le consentement, en cas de contrôle, vous devrez identifier la méthode mise en œuvre pour obtenir ce consentement et devrez démontrer de manière claire par quels moyens et à quel moment ce consentement a été donné.

4. Définir les droits des personnes concernées

Conformément au RGPD, toute personne dont vous traitez les données se voit attribuer de nouveaux droits, notamment le droit d'accès aux données à caractère personnel, le droit de rectification et d'effacement de ces données, ou encore le droit à la portabilité de ces données.

5. Garantir la confidentialité : une obligation de résultat

Dans le cadre du RGPD, les entreprises sont tenues de mettre en œuvre une stratégie stricte de confidentialité. L'objectif est d'assurer la confidentialité des données d'un projet dès le lancement de celui-ci, plutôt que de mettre en œuvre des mesures de confidentialité a posteriori, dans le but de réduire les risques de violation.

6. Mettre en place une procédure de gestion de crise en cas de piratage

Votre entreprise devra mettre en œuvre des stratégies et processus appropriés pour gérer les violations de données. Assurez-vous de savoir à quelles autorités vous devrez communiquer une éventuelle violation de données, ainsi que les délais impartis.

7. Un droit de communication renforcé

Conformément au RGPD, vous serez tenu de communiquer aux personnes concernées la base juridique régissant le traitement de leurs données et de vous assurer qu'elles ont connaissance des autorités auprès desquelles elles peuvent déposer plainte en cas de problème. Assurez-vous que votre politique de confidentialité des données en ligne est à jour.

8. Un audit de vos fournisseurs informatique

La mise en conformité avec le RGPD nécessite de mettre en place une stratégie qui englobe les fournisseurs traitant des données à caractère personnel en votre nom. Le recours à un tiers pour le traitement des données n'exempte pas les entreprises des obligations qui leur incombent en vertu du RGPD.

Il convient de vérifier que le tiers chargé du traitement des données en votre nom a mis en place des normes strictes en matière de protection des données, qu'il possède une vaste expérience dans le domaine de la gestion de la sécurité des données à grande échelle, et qu’il dispose d’outils vous permettant d'améliorer la gouvernance des données et de réduire les risques de violation.

Il convient également de s’assurer que votre fournisseur respecte les normes reconnues à l’échelle mondiale en matière de sécurité et de protection des données, dont la norme ISO 27018 (par exemple, ses stratégies de chiffrement et les contrôles en place au niveau des applications), ses propres politiques de sécurité, ainsi que ses stratégies de formation, d'analyse des risques et de test.

Maitre Richard Rondoux, associé au Cabinet d'avocat BRG avocats deumeure à votre disposition pour toute question concernant la mise en place de cette nouvelle réglementation européenne.