Que devez-vous mettre en place pour respecter la mesure GDPR ?

Comment se mettre en conformité avec le GDPR ?

Que devez-vous mettre en place pour respecter la mesure GDPR ?

Depuis plusieurs mois maintenant, la nouvelle mesure GDPR (ou RGPD en français) fait beaucoup parler d’elle. Pourquoi ? Car elle implique toute une série de nouvelles mesures à prendre pour toutes les entreprises qui récoltent et utilisent des données à caractère personnel. Que devez-vous mettre en place pour être en conformité ? Devez-vous tenir un registre ? Devez-vous élire un DPO ? Quels sont les risques d’une non-conformité ? On fait le point avec vous.


Qu’est-ce que ce que le GDPR ?

La mesure GDPR, pour General Data Protection Regulation (en français Règlement général sur la protection des données – RGPD), désigne le nouveau texte de réglementation européen en matière de protection des données à caractère personnel qui entrera en vigueur dans tous les États membres de l’Union Européenne dès le 25 mai 2018 et qui remplace la directive de 1995 devenue obsolète. Le nombre de données échangées quotidiennement s’accroissant de manière exponentielle, il était devenu important de renforcer et à unifier la protection des données des individus.

 

Le GDPR en Belgique et au Luxembourg

 

Qu’est-ce que ça signifie pour votre entreprise ?

Toute entreprise qui récolte et utilise les données de personnes physiques situées sur le territoire de l’Union Européenne devra se conformer à cette nouvelle directive. Cela signifie que vous devrez entre-autre mettre en œuvre des mesures de sécurité informatique contre la destruction, la perte, le traitement illégal et le vol des données récoltées, designer éventuellement un délégué à la protection de ces données et être en mesure de démontrer votre conformité puisque la mesure prévoit des sanctions en cas de nos respects de ces mises en œuvre.

Qu’est-ce qu’une donnée à caractère personnel ?

Une donnée à caractère personnel est une information privée concernant une personne telle que son nom, son prénom, son adresse, son identifiant en ligne, ses données bancaires, ses informations de santé, son revenu, etc.

Que faire concrètement si vous récoltez, stockez et/ou utilisez ce genre de données ?

  1. Communiquez clairement avec les personnes concernées : présentez-vous, énoncez ce que vous collectez comme données, à qui elles sont destinées, dans quels objectifs elles sont collectées et combien de temps ces données seront stockées.
  2. Demandez un consentement aux personnes dont les données vont être collectées.
  3. Donnez aux personnes le moyen d’accéder à leurs données et d’éventuellement les transmettre à d’autres entreprises.
  4. Donnez également aux personnes le droit de modifier ou de supprimer leurs données collectées.
  5. Permettez aux personnes concernées de s’opposer à l’utilisation de leurs données à des fins de marketing direct.
  6. Mettez en place un système de sécurité et de protection de ces données fiable et efficace.

Pour plus d’informations sur les mesures à prendre en cas de transfert de données hors de l’Union Européenne ou de profilage, rendez-vous sur le site de la Commission Européenne sur la protection des données.

 

regles-du-gdpr

 

Devez-vous tenir un registre des traitements des données ?

OUI si ;

  • votre entreprise compte plus de 250 personnes ;
  • votre entreprise traite des données susceptibles de comporter un risque pour les droits et libertés des personnes concernées ;
  • votre entreprise traite des données sensibles telles que des données médicales, à caractère racial ou ethniques, etc. ;
  • votre entreprise traite des données de manière régulière.

Le registre des traitements des données faites dans votre entreprise devra reprendre les coordonnées de la personne qui a effectué le traitement (ou celles de son responsable, le cas échéant), les raisons/l’objectif du traitement, la description des catégories de personnes concernées et des données à caractère personnel, les catégories d’organisations recevant les données, le transfert des données vers un autre pays ou à destination d’une autre organisation, dans la mesure du possible les délais de suppression des données et, dans la mesure du possible encore, la description des mesures de sécurité utilisées pour le traitement.

 

Le registre des traitements des données est-il obligatoire ?

 

Avez-vous besoin d’un délégué à la protection des données (DPO pour Data Protection Officer) au sein de votre entreprise ?

Ce n’est pas toujours nécessaire. Vous avez besoin d’élire un DPO si :

  • Si la récolte, le stockage ou l’utilisation des données se fait au sein d’un organisme ou d’une institution publics.
  • Si les activités de base de votre société consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées.
  • Si les activités de base de votre société consistent en un traitement à grande échelle de catégories particulières de données, telles que les données sensibles (comme des données médicales par exemple) ou les données relatives aux condamnations et infractions pénales.

 

Le délégué à la protection des données est-il obligatoire ?

 

Quels sont les risques si vous n’êtes pas en conformité avec le GDPR ?

Les autorités compétentes dans votre pays se chargeront de manière coordonnée avec leurs homologues européens de vérifier que vous respectez bien les règles en matière de récolte, de stockage et d’utilisation des données. Si vous n’êtes pas en conformité, les sanctions peuvent aller du simple avertissement en cas d’infraction mineure premièrement constatée jusqu’à une amende qui peut se chiffrer jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Mieux vaut ne courir aucun risque !

Comment vous assurer d’être prêt pour le GDPR et de travailler avec une solution adéquate et adaptée ?

Vous pouvez nous contacter sans hésiter. Nous prendrons le temps d’analyser avec vous vos besoins et de vous conseiller dans la mise en place des solutions qui correspondent à votre situation.


Pour en savoir plus : vous pouvez consulter le site de la Commission belge de la Protection de la Vie Privée ou celui de la Commission nationale pour la protection des données du Grand-Duché du Luxembourg.

 

Vanessa Landrain
No Comments

Sorry, the comment form is closed at this time.