4 actions à déployer pour respecter la législation pour le RGPD
Quatre actions concrètes pour être conforme au RGPD

Ce n’est plus une surprise, le RGPD ou Règlement Général de Protection des Données, entrera en vigueur vendredi 25 mai 2018 prochain. Bien que l’on en parle depuis plusieurs mois, certaines entreprises ne savent toujours pas par où commencer.

 

Voici quatre actions concrètes à mettre en place pour être en conformité : la liste de tous les flux de données, la collecte des informations seulement si nécessaire, l’implication des sous-traitants et le respect des droits des citoyens concernés.

 

Une cartographie des flux de données personnelles

Les données personnelles, au cœur de ce nouveau règlement, ont été redéfinies selon les termes suivants : il s’agit de toute information qui peut identifier directement ou indirectement une personne. Par exemple, un nom, un identifiant en ligne, un numéro d’identification, des données de localisation, ou encore des données propres à son identité physique, génétique, économique, culturelle… Dans le cadre du RGPD, l’entreprise devra lister toutes les actions de collecte de données qu’elle entreprend et les traitements qui en sont faits. Il peut s’agir des données exactes qui sont collectées, comment l’entreprise les a récupérées, où elles seront stockées, comment elle compte les traiter…

 

Des données à caractère personnel collectées seulement si besoin

L’un des défis des sociétés dans la mise en conformité au RGPD est de vérifier si toutes les informations recueillies sont indispensables dans le cadre de leurs activités. A priori, les entreprises récoltent en effet bien plus de données à caractère personnel que nécessaire. Il faut donc les analyser pour savoir quelles informations garder et à quelles autres renoncer.

 

Les sous-traitants doivent aussi être impliqués dans le RGPD

De nombreuses entreprises collectant des données personnelles travaillent avec des sous-traitants (hébergement, sécurité, archivage des données, marketing, communication, maintenance, etc.). Dans la logique de responsabilisation de tous les acteurs impliqués dans le traitement de données, si ceux-ci ont accès aux informations collectées de l’entreprise dans le cadre de leur activité, il faut changer la nature du contrat qui lie les deux sociétés. Doivent donc y figurer l’objet et la durée de la prestation du sous-traitant, le type de données traitées, les obligations et droits du sous-traitant et surtout l’engagement de ce dernier à avertir l’entreprise en cas de fuite de données.

 

Les droits des citoyens européens concernés par leurs données personnelles doivent être respectés

Selon le RGPD, tout citoyen européen dont les données sont collectées au sein d’une entreprise a des droits concernant ces informations confidentielles : un droit d’accès à ses données, un droit de rectification et un droit à la portabilité. Les citoyens peuvent ainsi recevoir leurs informations personnelles collectées dans un format structuré et demander leur transfert à un autre responsable du traitement. Enfin, ils ont un droit d’opposition qui implique qu’à tout moment, la personne peut s’opposer au traitement de ses données à caractère personnel.