RGPD : Gouvernance des données personnelles.

Les entreprises doivent donc se conformer dans les délais à cette réglementation en mettant en place une véritable politique de gouvernance de leurs données personnelles, sous peine de s’exposer à de sévères sanctions administratives, dont le montant pourra atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Il est aujourd’hui impératif pour les sociétés de se préparer en organisant le traitement de leurs données personnelles et en mettant en place un plan d’action.

Toutes entreprises, institutions, organes et organismes de l’Union européenne amenés à traiter des données à caractère personnel, automatisé ou non automatisé, entrent dans le champs d’application de ces nouvelles dispositions.

Les données concernent toute opération liée au traitement d’une information se rapportant à un personne physique (âge, sexe, nom, numéro de sécurité sociale, etc…).

En d’autres termes, la quasi-totalité des entités économiques est impactée par les dispositions de ce règlement.

Prioritairement, les sociétés devront désigner un responsable des données personnelles qui sera en charge de piloter leur conformité. Ce « DPO » (anciennement CIL) pourra être désigné en interne, sous certaines conditions, ou externalisé auprès d’un cabinet professionnel.

Il sera un véritable relais entre l’entreprise et les organes de contrôle, aura un rôle central dans l’entreprise et pour principales missions de :

 recenser toutes les données personnelles

Les entreprises devront tenir un registre qui détaillera les différents traitements et leur gestion : qui est responsable du traitement, s’agit-il de données sensibles, le lieu d’hébergement des données, le temps de conservation, leur finalité …

Cet inventaire devra impérativement être tenu à jour et mis à disposition des organes de contrôle. Cette cartographie des données permettra également de vérifier la conformité de leur gestion aux obligations imposées et le cas échéant, de gérer les données à risques.

Les données personnelles recouvrent un nombre important de données, qui va de la gestion d’un fichier client, au badge de restauration jusqu’au fichier des véhicules de fonction (seules celles gérées par le CE des entreprises semblent être exclues du champs).

 prendre les mesures nécessaires pour se conformer

Le pilote désigné devra mettre en place les mesures nécessaires pour gérer la gestion des données à risque, c’est-à-dire qui ne sont pas conformes aux obligations imposées par les textes.

Dans cette hypothèse, et si un risque élevé est identifié, il conviendra de mener une étude d’impact approfondie (PIA) afin d’évaluer le risque pris et de déterminer les mesures ou process à mettre en place en interne pour traiter ces risques (éléments à protéger, impacts potentiels, consentement renforcé, supports…).

 assurer le suivi de la conformité des données

La dernière phase pour le pilote désigné est d’organiser le suivi, la sensibilisation, et le maintien de cette conformité sur le long terme.

Ainsi, au delà de sa mission de mise en conformité, il devra intégrer une véritable mission de sensibilisation en interne, de remonter d’information, de traitement des réclamations et des demandes, et d’anticiper les violations de données (qui s’imposent aussi aux sous-traitant de l’entreprise).

Les dispositions de ce règlement sont contraignantes pour les entreprises qui doivent repenser leur système (ou son absence) de gouvernance interne des données, ce qui explique le délai de mise en conformité de deux ans qui leur est laissé pour s’y conformer (28 mai 2018). En tout état de cause, il convient de se préparer dès aujourd’hui vu que ces obligations s’imposent aux entreprises mais également aux sous-traitants, et prendre des mesures telles que l’information des sous-traitants pour s’assurer de leur conformité, un mailing de mention aux clients ou encore un retro-planning des process à mettre en place.

Pour plus de détails : https://www.cnil.fr/fr/reglement-europeen-protection-donnees