Le RGPD, comment s’y préparer ?

Quelques mois avant l’application du RGPD*, les entreprises françaises sont-elles prêtes à se mettre en conformité avec le Règlement Général de Protection des Données ?

Aujourd’hui, encore, une entreprise sur 10 ignore où sont stockées les données qu’elle exploite. Les données sont d’ailleurs dispersées, en moyenne, sur 22 systèmes de stockage internes. En plus d’être dispersées, elles sont pour la majorité partagées avec des parties tierces des entreprises.**
Avec l’application du RGPD à compter du 25 mai 2018, tous ces partages de données seront règlementés.

Qui sont les entreprises concernées par cette loi et que doit-on mettre en place ?

« Toute société, dès lors qu’elle offre des biens et des services aux personnes concernées par le traitement dans le territoire de l’Union Européenne, devra appliquer le RGPD. »
Les entreprises concernées auront à mettre en œuvre plusieurs actions afin d’être en conformité avec le RGPD :
– Réaliser des analyses d’impact avant un traitement de données pouvant présenter des risques pour la liberté et les droits
– Prendre en compte la protection de la sécurité des données
– Être en mesure, à tout moment, de démontrer la conformité du traitement.

Comment faire en sorte d’être en conformité au plus tard le 25 mai 2018 ?
Afin de pousser tous les services de votre entreprise à faire le nécessaire pour être en règle, la décision doit être hiérarchique et entrainée par la direction.
La création d’un poste de DPO (Data Protection Officer) peut faciliter la mise en place de la politique et des processus qui permettront de respecter le RGPD ainsi que le principe d’accountability. Il s’agit d’une obligation des entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
Les entreprises devront fournir aux autorités (en France, il s’agit de la CNIL***) les documents établissant la conformité du règlement.

Si les organisations ne respectent pas le RGPD, elles s’exposent à des sanctions qui pourront s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial, ainsi qu’à des amendes administratives distribuées par la CNIL.

Au-delà de ces sanctions, il est important que les entreprises de l’Union Européenne suivent ce règlement car il leur permettra de regagner la confiance de leurs clients et de renforcer leur position concurrentielle.

*Le règlement générale de la protection des données (DGPR en anglais), est directement applicable dans l’ensemble de l’Union Européenne sans nécessiter de transposition dans les différents États membres. Tous les traitements de données déjà mis en œuvre devront être mis en conformité avec les dispositions de ce règlement d’ici au 25 mai 2018

**Etude menée par le site Silicon.fr

***Commission Nationale de l’Informatique et des Libertés