Data News

Data : êtes-vous conformes au RGPD ?

Data : êtes-vous conformes au RGPD ?

💡 RGPD, de quoi parle-t-on ?

Le Règlement général sur la protection des données (RGPD) constitue le cadre européen de protection des données à caractère personnel. Adopté en avril 2016, il couvre l’ensemble des résidents de l’Union européenne en encadrant l’accès et l’usage aux données personnelles.

L’objectif de ce règlement est notamment de protéger les citoyens de discrimination ou de préjugés qui pourraient être extrapolés de certaines informations personnelles plus sensibles : origine ethnique, orientation sexuelle, opinion politique, etc.

Ce faisant, il vise également à responsabiliser les organismes publics et privés qui utilisent des données personnelles dans le cadre de leur activité.

La Commission nationale de l’informatique et des libertés (CNIL) définit la donnée à caractère personnel comme suit : une information qui concerne une personne physique et qui permet de l’identifier (nom, photographie, adresse IP, numéro de téléphone, identifiants, adresse postale, mail, N° de sécurité sociale, etc.)

Les principales dispositions du RGPD prévoient :

  • Le consentement « explicite » et « positif » (notamment via l’acceptation de cookies et une explication claire de l’utilisation des données de l’internaute)
  • Le droit à l’effacement (retrait ou effacement des données personnelles)
  • Le droit à la portabilité des données personnelles (droit à récupérer et transférer ces données personnelles à un tiers)

Des amendes dissuasives

Les manquements au RGPD au sein de l’UE ont généré 171 millions d’euros d’amendes en 2020. L’Italie arrive en tête des amendes les plus élevées et la France pointe à la sixième position…

Pour toucher du doigt la réalité de ces amendes, la CNIL établit la liste des sanctions sur son site internet.

Certaines entreprises ne font donc pas les efforts nécessaires en matière de protection des données personnelles de leurs clients, salariés et/ou parties prenantes. D’où la volonté de certains responsables politiques de muscler encore la régulation afin de rassurer des citoyens parfois inquiets.

Une enquête récente a en effet montré que 70% des Français restent préoccupés par les informations collectées sur eux sur le web. Une même proportion estime que leurs données personnelles sont mal protégées sur Internet.

Peut-on concilier data et RGPD ?

Data et RGPD

La donnée est aujourd’hui partout en entreprise. Souvent qualifiée de mine d’or ou de « nouvel or noir », les data peuvent servir à la fois pour améliorer les processus internes et mieux connaître ses clients.

La mise en place du RGPD a contraint les entreprises à effectuer cette collecte dans un cadre strict et « raisonnable », ce qui peut sembler contradictoire avec le principe de la data qui est de collecter des informations sans forcément anticiper leur utilisation.

 

C’est pourquoi quelques principes (collecte raisonnée, anonymisation et sécurisation des données) doivent permettre de guider leur entreprise dans leur recherche de conciliation entre collecte et respect du RGPD.

En B2B, l’entreprise sous-traitante doit aider et conseiller son entreprise cliente à respecter le RGPD s’il y a transfert de données entre elles. La sécurité des données confiées doit être respectée et le manquement à ces règles peut entraîner des sanctions pour les deux parties !

La CNIL rappelle les 6 bons réflexes à adopter en termes de RGPD

1.       Ne collecter que les données vraiment nécessaires pour atteindre votre objectif

2.       Être transparent : les individus doivent conserver la maitrise des données qui les concernent (informés de leur utilisation et de leurs droits en la matière)

3.       Organiser et faciliter l’exercice des droits des personnes : répondre dans les meilleurs délais aux demandes d’accès, de modification ou de suppression des données les concernant.

4.       Fixer des durées de conservation (nécessaire à la réalisation de l’objectif poursuivi)

5.       Sécuriser les données et identifier les risques : garantir la sécurité des données (informatique, locaux) notamment lorsqu’il s’agit de données sensibles

6.       Inscrire cette mise en conformité dans une démarche de mise en conformité : s’assurer du bon respect à tous les niveaux de l’organisation.

💡 Mettez de l’ordre dans vos données !

Que votre entreprise travaille en B2C ou en B2B, le respect des données personnelles est donc un prérequis, sous peine de voir votre organisation recevoir une amende.

Mais par quoi commencer ? Toute organisation doit se poser les questions suivantes :

·         Identification du traitement des données : qui traite les données ? Quelles données collecte notre organisation, pourquoi et auprès de qui ? Qui est la personne en charge du traitement de ces données (DPO, Délégué à la Protection des Données ou autres).
NB : c’est l’organisme qui est considéré comme responsable en cas de manquement au RGPD et non pas le DPO.

·         Collecte des données : Les données collectées sont-elles nécessaires pour atteindre les objectifs suivis par l’organisation ? Quels sont les pôles concernés (RH, commercial, etc.) ? Les consentements nécessaires auprès des internautes ont-ils été demandés ?

·         Stockage des données : Qui stocke les données ? Comment et où sont-elles stockées ? Qui peut y avoir accès ? Sont-elles accessibles par des parties prenantes extérieures à l’organisation ? Sont-elles suffisamment sécurisées et protégées contre des attaques malveillantes ? Le responsable du traitement peut-il aisément modifier, corriger, supprimer, anonymiser et garantir la portabilité de données ?

 

Ces thématiques ne sont évidemment qu’un aperçu de l’ensemble des actions à-même de structurer la gouvernance de vos données.

Et si vous ne savez pas où vous en êtes ou si vous avez besoin de conseils d’experts Data, contactez-nous !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.