RGPD-echeance

RGPD : il ne vous reste que quelques jours pour vous mettre en conformité

Spread the love
RGPD : il ne vous reste que quelques jours pour vous mettre en conformité
5 (100%) 1 vote

Le RGPD ou Règlement Général sur la Protection des Données entre en vigueur le 25 mai prochain, créant ainsi une nouvelle législation internationale pour la protection des données dans le monde entier.


Tout ce que votre entreprise a besoin de savoir à propos du RGPD

Tomasz Stefanski - Sharp EuropePar Tomasz Stefanski   – Solutions and Applications Specialist – Sharp Europe

Le 4 mai 2018 – Voici tout ce que vous devez savoir et réaliser pour assurer la conformité des données au sein de votre entreprise.

Le RGPD changera radicalement la façon dont les données sont stockées et partagées. Non seulement, il offre davantage de transparence aux particuliers, mais il oblige également les entreprises à fournir des rapports plus détaillés en cas d’atteinte à la protection des données. Un cas de non-conformité peut entraîner de lourdes amendes pour les entreprises qui n’auraient pas mis en œuvre les mesures nécessaires ou déployé les outils spécifiques. Les amendes peuvent s’élever à 4% du chiffre d’affaires global, ou des sanctions allant jusqu’à 20M€.

Voici toutes les étapes à suivre pour s’assurer de la conformité de votre entreprise d’ici le 25 mai 2018.

Étape 1 : Savoir tout ce qu’implique le RGPD

Le RGPD est un bouleversement majeur pour la sécurité des données, et doit par conséquent être pris très au sérieux par les entreprises.

Première chose à faire : savoir très exactement quelles mesures doivent être prises au sein de son entreprise pour être en conformité avec la nouvelle réglementation.

Étape 2 : Vérifier toutes les données personnelles

Selon le RGPD, les « données personnelles » sont toutes les informations stockées par une entreprise qui se rapportent à l’identité d’une personne vivante.

Ces documents peuvent être stockés électroniquement, sur un disque dur, sur le Cloud ou sur papier. L’entreprise doit savoir précisément quels dossiers personnels sont conservés, qui y a accès et pourquoi ils sont conservés.

Étape 3 : Revoir sa charte de stockage des données

Le RGPD oblige les entreprises à redéfinir leur charte vis-à-vis de la gestion, du stockage et du partage des données. Le contenu et l’application de cette charte varieront en fonction des exigences de l’entreprise. Qu’il s’agisse de stockage numérique ou sur papier, la sécurité doit demeurer un facteur clé.

En cas de traitement à grande échelle des dossiers personnels, il peut s’avérer nécessaire de nommer un responsable de la protection des données. Son rôle sera de surveiller scrupuleusement le respect de la charte et le processus d’utilisation et de stockage des données.

Étape 4 : Mise à jour des données du client

S’il est impératif de conserver les données personnelles des clients, l’entreprise doit se rapprocher des personnes concernées, afin de leur faire signer des documents attestant qu’elles adhèrent à la nouvelle charte de confidentialité.

Les clients ont le droit de savoir comment leurs données personnelles sont stockées, et pour quelle raison elles le sont. Plus important encore, les clients devront également être pleinement conscients de leurs droits quant à la manière dont ils peuvent accéder à ces données stockées, afin qu’ils puissent vérifier si elles sont exactes ou pertinentes.

Étape 5 : L’entreprise est-elle couverte ?

L’entreprise doit absolument anticiper d’éventuels cas de non-conformité, connaître les risques et les amendes réglementaires qui en découleraient, ainsi que les recours et droits d’indemnisation des particuliers qui ont constaté une violation de la protection de leurs données personnelles.

C’est pour cette raison que les entreprises doivent vérifier quelles sont leurs polices d’assurance en ce qui concerne les réclamations, mais aussi chercher à mettre en place de meilleures dispositions si le pire devait se produire.

Étape 6 : Démontrer la conformité au RGPD

Il ne suffit pas que l’entreprise soit en conformité avec le RGPD : elle doit également être en mesure de démontrer comment elle respecte les principes de protection des données. Ce sera principalement le rôle des dirigeants de l’entreprise ou éventuellement du responsable spécifique de la protection des données, mais tous les employés se doivent de connaître la nouvelle réglementation en vigueur et la démarche à suivre pour qu’elle soit respectée. Par conséquent, des formations obligatoires devront être dispensées à tous les collaborateurs.

Ces nouvelles règles concernent non seulement les dispositions prises pour entrer en conformité avec la nouvelle directive, mais aussi pour rester à jour une fois qu’elle sera introduite.

Il est donc impératif de demander conseil auprès d’un expert juridique, afin de connaître précisément les démarches que le RGPD implique pour son entreprise.


RGPD : est-il réellement trop tard pour entrer en conformité ?

Par Nicolas Linsart, Consultant chez Software AG

Le 25 mai 2018, toutes les entreprises, quel que soit leur pays d’origine, devront être conformes au nouveau Règlement général sur la protection des données (RGPD).

Approuvée en avril 2016 et particulièrement médiatisée ces derniers mois, la nouvelle réglementation vient renforcer les obligations des entreprises concernant le traitement des données des citoyens européens. PME, startups et grands groupes doivent prendre les dispositions nécessaires pour mieux localiser et protéger les données personnelles collectées en interne. A terme, l’objectif du RGPD est de réduire les risques d’exploitation des données des entreprises en cas de faille ou de piratage informatique et de renforcer les droits individuels. Il s’agit aussi de construire un cadre juridique uniforme pour tous les états membres de l’Union Européenne.

Les grands défis du RGPD

Très vite, le RGPD s’est annoncé comme un défi, car pour être en mesure d’y répondre, les entreprises doivent revoir leur organisation et les procédures de traitement des données en interne. La plupart doivent recourir à un audit de sécurité, pour pouvoir ensuite intégrer des solutions adéquates qui garantissent la sécurité des données. Les craintes des entreprises n’ont pas tardé à se faire sentir, la majorité qualifiant le RGPD de véritable « bombe à retardement » ou encore de « contrainte ». Et ce n’est pas anodin quand la réglementation stipule que celles qui seront non conformes à la date butoir, seront condamnées à régler une amende pouvant aller jusqu’à 20 millions d’euros ou 4% de leur chiffre d’affaires mondial.

Entreprises : un niveau de préparation encore critique

Aujourd’hui, la majorité des entreprises ne sont pas encore prêtes. En avril 2017, seulement 2% de celles qui se disaient prêtes pour le RGPD étaient réellement conformes aux exigences de la législation[1]. Quelques mois plus tard, en février dernier, 26 % des sociétés européennes étaient totalement conformes au nouveau texte[2]. Les raisons d’un tel retard sont multiples : une loi pas forcément bien identifiée au départ qui explique que la majorité des entreprises ont perçu le RGPD comme une réglementation purement juridique, et se sont donc attachées à tenir principalement un registre de traitement des données. A cela s’ajoute le coût des projets de mise en conformité qui est une cause de la lenteur des entreprises.

Ces dernières ne réalisent que maintenant l’ampleur du travail qui reste à faire d’un point de vue technique et organisationnel en interne.

La clé : se conformer sans céder à la panique

Mais s’il est maintenant évident qu’une part importante des entreprises ne seront pas prêtes le 25 mai 2018, elles ne doivent pas pour autant céder à la panique : Isabelle Falque-Pierrotin, présidente de la Commission nationale de l’informatique et des libertés (Cnil) a assuré qu’elle ferait preuve de souplesse en matière de contrôle, et a affirmé sa volonté d’accompagner les entreprises dans leur transition pendant encore plusieurs mois[3]. En cas de contrôle de l’autorité responsable, les entreprises doivent prouver qu’elles ont initié les mesures nécessaires pour s’assurer que les données collectées soient bien protégées.

L’objectif principal pour les entreprises est maintenant d’utiliser à bon escient les quelques semaines qui les séparent de la date butoir pour « poser les fondations » et se préparer à répondre aux exigences de la réglementation. Pour y parvenir, la première des priorités est d’insuffler une culture de la conformité en interne afin de s’assurer que tous les effectifs, quel que soit leur cœur de métier, aient bien compris les enjeux de la mise en conformité. Il s’agit donc de concevoir l’équipe qui sera responsable du processus de mise en conformité. Cette dernière doit absolument cibler tous les métiers concernés (informatique, juridique, commercial, marketing, etc.) et avoir à sa tête un profil sensible à ces multiples compétences. L’objectif est de créer une bonne dynamique au changement en instaurant par exemple des cellules de travail, chargées d’initier la transition entre les différents départements, mais aussi en organisant des sessions de formation et de sensibilisation en interne. L’acquisition de ces nouvelles compétences pourrait être vérifiée par exemple via un rapide questionnaire envoyé aux employés pour s’assurer de leur implication. A terme, les entreprises pourraient même accorder des primes ou des bonus aux employés qui respectent le mieux la réglementation.

Avec des collaborateurs formés à ce changement profond, les entreprises seront beaucoup plus convaincantes auprès de leurs clients et du grand public. Autre point important : ces dernières ne doivent pas hésiter à communiquer sur leur engagement, en dévoilant, de manière tout à fait transparente, comment les données sont utilisées et quels soins particuliers sont apportés pour les préserver et garantir la confidentialité. Adopter la démarche de la transparence leur permettra non seulement d’asseoir leur forte identité de marque, mais aussi d’instaurer un climat de confiance et d’initier de nouveaux parcours clients.

Et c’est seulement après avoir effectué ce travail qu’elles pourront s’attaquer au chantier de la conformité technique en réalisant par exemple, une cartographie des données personnelles en leur possession, pour identifier les zones de risques potentiels et évaluer leur niveau de sécurité.

Le RGPD est une opportunité pour les entreprises de devenir non pas les propriétaires mais les gardiennes des données personnelles. Il est donc fondamental de commencer par un changement éthique pour transmettre la valeur des données aux employés et de rassurer les clients. Et c’est seulement après avoir initié ce changement de culture en interne que les entreprises pourront prendre en main le chantier purement technique.


Terranova corporationTerranova lance une solution complète pour la mise en conformité effective des employés avec les exigences de formation du RGPD

La solution RGPD offre une campagne de sensibilisation clés en main qui contextualise le règlement de lUnion européenne (UE) afin que les employés comprennent leur rôle et les meilleures pratiques à suivre pour se conformer à cette nouvelle réglementation sur la protection des données.

Terranova Corporation annonce le lancement d’une solution complète et intégrée conçue spécifiquement pour aider les organisations à se conformer aux exigences de formation des employés énoncées dans le RGPD. Ancrée dans la structure de sensibilisation éprouvée de Terranova, cette solution clés en main guide les organisations de manière efficace pour mettre en œuvre un programme de formation au RGPD réussi.

La solution de Terranova aide tous les employés à apprendre les concepts clés et à les appliquer dans leurs activités quotidiennes afin de satisfaire les directives du RGPD. Son contenu engageant aide tous les administrateurs, notamment les dirigeants, les cadres et le personnel des ressources humaines à comprendre et adopter les principes juridiques sous-jacents de ce règlement. Cette solution comporte deux offres : GDPR: Essentials (RGPD : les bases) s’adresse à la population générale des utilisateurs, tandis que GDPR: In-Depth (RGPD : en profondeur) est un lot de cinq modules axés autour de différents rôles qui ciblent des groupes distincts : les dirigeants, les employés de centres d’appels, le personnel de développement et d’exploitation, les ressources humaines et le personnel chargé de l’approvisionnement.

Lise Lapointe, PDG de Terranova, fait remarquer : « Au vu des préoccupations grandissantes à l’égard de la vie privée en Europe, notre formation au RGPD porte essentiellement sur ce qui compte le plus : les individus. Chaque module de formation a été développé pour les différents rôles et responsabilités des groupes qui gèrent des données confidentielles. Par conséquent, notre contenu RGPD trouve un écho auprès de chaque public ciblé, car il est basé sur le « pourquoi » et sur ce qui exigé d’eux pour traiter les données personnelles. Car en fin de compte, protéger la confidentialité des données, c’est protéger la vie des gens. »

La solution de Terranova comprend également des outils innovants pour impliquer le public visé. Elle offre une feuille de route pour la sensibilisation à la protection des renseignements personnels, de courts modules d’apprentissage pour consolider les acquis, et des supports de communication pour accroître la sensibilisation et l’implication du public.

Le RGPD entrera en vigueur le 25 mai et nécessite que tous les employés soient formés et qualifiés. Le règlement s’appliquera à toutes les organisations traitant les données personnelles de résidents de l’UE, quelle que soit leur situation géographique. Tout manquement à cette directive sera susceptible d’entraîner de lourdes peines, y compris des amendes pouvant atteindre 20 millions d’euros ou 4 pour cent du chiffre d’affaires annuel global.

The following two tabs change content below.
Consultant innovateur dans le domaine des RH et des TIC, Stéphane Poignant décrypte via sa plateforme, l’impact du digital et du numérique sur la fonction RH. Concepteur, formateur au CEPRECO (CCI de Lille), chez IFOCOP, CESI, PIGIER, il est chargé d'enseignement au CNAM de Lille. Stéphane Poignant a créé et a animé Indice RH, site Média de référence dans les Ressources Humaines durant une dizaine d’années.

Laisser un commentaire