La réponse courte à cela est non, il n'y en a pas. Il y a tellement d'informations disponibles en ligne et provenant d'entreprises spécialisées dans le RGPD, qui peuvent vous aider à en savoir plus sur ce que c'est et comment vous pouvez vous assurer que votre entreprise est conforme.
La connaissance du RGPD est encore faible parmi les entreprises britanniques et beaucoup ne savent pas comment se conformer à la nouvelle réglementation. Deux facteurs qui auraient empêché les entreprises de se préparer à se conformer sont le fait de croire que le Brexit offre en quelque sorte une exemption et de ne pas lire la nouvelle définition des données personnelles.
On pourrait penser que les lourdes sanctions que les entreprises pourraient subir en cas de non-conformité les inciteraient à rechercher le RGPD, cependant, de nombreuses entreprises semblent nier sa portée et ses effets. Si vous avez vécu sur Jupiter au cours des deux dernières années, voyons ce qu'est le RGPD et ce que votre entreprise doit savoir et faire ...
Qu'est-ce que le RGPD ?
GDPR signifie General Data Protection Regulation et il a été introduit en mai 2018.
Selon le règlement, toutes les données permettant d'identifier une personne ou de rendre une personne identifiable sont classées comme données à caractères personnelles (DCP) et comprennent tout: des informations économiques aux adresses IP. Il fait référence aux lois et règlements sur la protection des données et la vie privée pour toutes les personnes au sein de l'UE et de l'Espace économique européen (EEE).
La réglementation se concentre sur la manière dont les données à caractères personnelles sont utilisées et le but de la réglementation est de donner aux gens le contrôle de leurs données personnelles et de simplifier les règles de réglementation des données pour les affaires internationales au sein de l'UE.
TOUTES les organisations qui fonctionnent avec des données dans la région de l'Union Européenne doivent se familiariser avec les réglementations et comprendre leur fonctionnement. Ce qui implique par exemple comme entreprise américaine qui a des clients sur le territoire de la France est assujetti au RGPD.
Que doit savoir mon entreprise ?
Toute organisation qui traite des données doit désormais effectuer les opérations suivantes :
Confirmer comment et pourquoi les données personnelles sont traitées
Établir une nouvelle transparence et des droits individuels qui garantissent le respect de tout ce qui est énoncé dans le nouveau règlement
Confirmer leur processus de collecte de données, la durée pendant laquelle les données seront conservées, si les données sont partagées avec des tiers ou en dehors de la région de l'UE
Employer un délégué à la protection des données (DPO) pour gérer le respect du RGPD (en fonction de la taille de l'entreprise).
En vertu du RGPD, les entreprises peuvent être condamnées à une amende allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel (selon le montant le plus élevé). Ici les entreprises pensent qu'elles prendront 4% de leur CA, c'est faux. On parle bien d'amende la plus élevée ! Donc imaginons une société qui fait 10 Millions d'€ de CA sont amendes maximum sera de... 20M€. Maintenant si une entreprise à un CA de 10Milliards € de CA sont amende sera de 4% car 4%>20M€. Il faut savoir que 50% des contrôles de la CNIL se font par délation...
Comment débutez avec le RGPD ?
Si vous n'êtes pas sûr du RGPD, vous devez vous familiariser avec la réglementation, puis commencer à mettre en œuvre les changements nécessaires, notamment les suivants :
a) Sensibilisez vos employés
Vous devez insister sur l'importance d'être conforme et vous voudrez peut-être envisager de donner une formation à votre personnel.
b) Effectuer un audit des données
Vous devez réévaluer vos pratiques actuelles en matière de données, y compris la modification et la mise à niveau de vos politiques de confidentialité des données actuelles pour vous conformer au RGPD, telles que les données dont vous disposez actuellement, d'où proviennent les données, y a-t-il une option donnée utilisée et avec qui les données, ont-elles été partagées.
Vous aurez besoin d'un enregistrement de toutes vos données et de toutes vos activités de traitement de données. Par conséquent, le RGPD vous obligera à vous assurer que vos données sont organisées et facilement accessibles.
c) Créer un plan d'action
Vous avez jusqu'à 72 heures pour signaler toute violation de données.
Vous avez besoin d'un plan d'action pour mettre en évidence comment détecter une violation ou une perte de données et comment la signaler.
Le fait de ne pas signaler les violations de données entraînera de lourdes amendes, ainsi que toutes les amendes que vous pourriez recevoir pour la violation initiale elle-même.
d) Embaucher un DPO
Pour se conformer à la nouvelle réglementation, le DPO est obligatoire dans ses 2 cas :
Pour les responsables de traitement et les sous traitants avec activités de base nécessitant un suivi régulier et systématique à grande échelle de personnes concernées
Pour les responsables de traitement et les sous traitants dont les activités de base consistent en un traitement à grande échelle de DCP sensibles ou condamnations pénales
Dispositions pour les organismes de moins de 250 salariés
Les entreprises de moins de 250 salariés bénéficient d’une dérogation en ce qui concerne la tenue de registres. Ils doivent inscrire au registre les seuls traitements de données suivants :
les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).
Mais le nombre de salariés n'a rien à voir avec la désignation d'un DPO !
Une petite entreprise de 20 personnes qui gère à l'échelle mondiale une application de géolocalisation, est contrainte d'embaucher un DPO car elle rentre dans la case de grandes échelles + données sensibles
e) Mettez à jour vos procédures de stockage de données
Vous devrez modifier ou mettre à jour votre système de stockage des données afin qu'il soit conforme aux directives du RGPD.
Pourquoi les législateurs se préoccupent-ils de la sécurité des données en premier lieu ?
La réponse à cette question se trouve en un mot et c'est… la cybersécurité.
La cybersécurité est la protection délibérée des systèmes connectés à Internet, y compris le matériel, les logiciels et les données, contre les cyberattaques. Les données sont le moyen le plus rapide d'obtenir des informations sur n'importe qui ; cela explique pourquoi il y a une prise de conscience accrue sur la protection des données. Être "cybersécure" signifie que les utilisateurs ont pris des mesures pour protéger leurs informations sensibles et vitales.
Le RGPD est un pas dans la bonne direction, mais la conformité sera une tâche permanente qui nécessitera un suivi attentif. Si vous souhaitez une formation en cybersécurité ou sur la thématique du RGPD nous pouvons vous y aider. Nous avons une équipe de DPO à temps partagé.