Comment appliquer le RGPD dans l'entreprise ?
Le RGPD est un règlement qui s'adresse à toutes les entreprises qui traitent les données personnelles de ressortissants européens.
Entreprises régies par le RGPD
Le RGPD a été créé pour un vaste champ de sociétés privées, telles que les TPE, les PME, les freelances, les associations ou encore les start-ups, ou publiques. Les activités non soumises à la législation de l'Union européenne comme la défense nationale ne sont pas régies par ce règlement.
Application du RGPD en entreprise
Le RGPD prévoit plus de droits pour les individus concernés par les collectes de données. Ce règlement exige également la transparence et la responsabilisation de la part des collecteurs. Le RGPD est un cadre légal strict touchant le consentement et les transferts de données. En cas de négligence, les sanctions sont importantes. Concrètement, les étapes à suivre sont les suivantes.
Étape 1 : la conception du produit
Le principe de protection des données doit être pris en compte dès la conception du futur produit. Cette conception doit tenir compte des outils techniques qui garantissent le respect de la vie privée. Cette action est connue sous le nom de " Privacy by Design ". L'action " Privacy by default " doit être appliquée en vue de renforcer l'assurance de la confidentialité des données de l'individu concerné.
Étape 2 : l'acquisition des données
Avant la collecte de ses données, l'individu doit être mis au courant de l'objectif de la collecte ainsi que des droits qui l'accompagnent. Les formulaires contenant des phases pré-cochées ne sont pas valables. De plus, l'acquisition et l'utilisation d'une information sur les mineurs sans autorisation parentale sont interdites par le règlement. Un vice de forme telle que la taille de la police ou la formulation de ces informations peut annuler le consentement de l'internaute.
Étape 3 : les droits du fournisseur de données
Le fournisseur de données bénéficie de certaines protections de ses informations personnelles, qui sont notamment :
- Droit au déréférencement : l'individu ayant donné son consentement pour l'utilisation de ses informations personnelles dispose du droit d'arrêt d'exploitation de ses données sur demande.
- Droit d'opposition au profilage : la personne concernée par la collecte a le droit de refuser que ses données personnelles soient soumises à un traitement entièrement automatisé.
- Droit à la limitation du traitement : chaque individu a le droit de demander que ses données personnelles ne servent qu'à être stocké.
- Droit à la portabilité des données : la demande de transfert de données à une autre entité est possible si elle a été soumise par la personne directement concernée.
Étape 4 : le traitement des données conformément au RGPD
Chaque entreprise doit recruter un " Data Protection Officer " pour s'occuper de la protection des données. Les principaux rôles de cet expert sont :
- La réalisation d'un recensement initial des données ;
- La formation du personnel sur le RGPD ;
- La mise en place des outils et procédures ;
- La revue des contrats pour en garantir la conformité ;
- La déclaration officielle de tout incident à la CNIL sous un délai de 72h.
Pour accomplir ces tâches, il doit disposer d'un registre de consentement, d'un registre des oppositions et d'un registre documenté sur le traitement des données.