Chaque début d’année apporte de nouvelles priorités au monde des affaires. Pour certains, l’accent sera mis sur le recrutement de talents, pour d’autres sur la croissance et la maximisation de nouvelles opportunités de business. Toutefois, où que vous prévoyiez de canaliser vos efforts en 2018, vous devez vous assurer que la préparation du règlement général de l’UE sur la protection des données (RGPD) figure en priorité sur votre « to-do list ». La mise en œuvre de le RGPD constituera le plus grand changement de la réglementation sur la protection des données depuis 20 ans, ce qui nécessitera beaucoup de travail en amont pour garantir la conformité.

Après 4 ans de réflexions et de négociations législatives, le RGPD entrera en vigueur le 25 mai 2018. C’est sans aucun doute le texte de loi qui aura le plus grand impact sur les entreprises cette année.

Le champ d’application du RGPD est vaste – il affectera tous ceux qui offrent des biens ou des services ou qui surveillent le comportement de n’importe qui dans l’UE. Elle s’applique aux informations qui peuvent être utilisées pour identifier directement ou indirectement une personne – par exemple : un nom, une photo, une adresse électronique, des coordonnées bancaires, des messages sur des sites de réseaux sociaux, des informations médicales ou une adresse IP d’ordinateur.

Politiques sur les données obsolètes

Le RGPD remplace la directive 95/46/CE sur la protection des données qui a été rédigée en 1995, à une époque où seules les plus grandes entreprises avaient les moyens de collecter et de stocker des quantités importantes de données et où les médias sociaux étaient encore méconnus. Aujourd’hui, la plupart des entreprises collectent et stockent des données, les exploitent pour la vente, le marketing et la gestion de la relation client, et les lois sur la protection des données sont devenues vétustes notamment avec l’explosion du numérique et l’apparition de nouveaux usages. Le RGPD reflétera ces changements, harmonisera les lois sur la protection des données à travers l’Europe et donnera aux citoyens et aux résidents un plus grand contrôle sur leurs données personnelles.

La nouvelle loi établit des lignes directrices sur la façon dont les entreprises devraient traiter la protection de la vie privée des clients, stocker les données en toute sécurité et réagir aux atteintes à la sécurité. Des règles plus strictes s’appliqueront au traitement des données personnelles sensibles et l’obtention du consentement sera plus complexe qu’une case à cocher. Il y aura également un droit à l’oubli plus large que celui qui existe actuellement.

Le non-respect de cette obligation entraînera des sanctions beaucoup plus sévères : les organisations peuvent se voir infliger une amende de 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial en cas de non-respect du RGPD. Il s’agit de l’amende maximale qui peut être infligée, mais il existe une approche par paliers pour les autres infractions. Ces règles s’appliquent à la fois aux contrôleurs et aux processeurs : un prestataire de services d’externalisation tel qu’une société de « cloud computing » ou un prestataire de paiement tiers en sera désormais également responsable.

Des avantages insoupçonnés

Si bon nombre de ces réglementations peuvent sembler accablantes, les entreprises y adhérant n’auront plus besoin de demander conseil à des avocats locaux pour assurer la conformité dans les pays européen dans lesquels elles collaborent. Cela réduira l’ambiguïté, les coûts et devrait également permettre d’accroître la transparence et la sécurité des clients, d’approfondir la confiance entre les entreprises et leurs clients, de restreindre l’efficacité des cybercriminels et de renforcer la réputation de fiabilité d’une entreprise.

Ainsi, en ce début d’année, les entreprises devront idéalement procéder à une vérification complète de l’information sur les données existantes et les pratiques actuelles. Il serait envisageable de nommer un délégué à la protection des données (DPO), qui aura pour vocation à s’assurer du respect de cette obligation et de piloter la mise en œuvre de l’ensemble des process dédiés à la conformité juridique des traitements. Chez Creditsafe, notre DPO travaille sans relâche pour assurer notre conformité et communiquer les changements dans l’ensemble de l’entreprise.t

Un aspect clé de la préparation au RGPD est de comprendre qu’il concerne tout le monde au sein d’une entreprise – et pas seulement le DPO. Le RGPD peut représenter un travail fastidieux pour de nombreux services au sein d’une entreprise, il est donc vital que tout le monde soit à la page et comprenne l’urgence.

En bonus…

Voici nos 6 recommandations pour vous préparer au mieux :

• Nommez un responsable : Désignez au sein de votre entreprise un « délégué à la protection des données » qui aura en charge d’informer, de conseiller et de coordonner toutes les tâches en lien avec le RGPD. Il coopère également avec l’autorité de contrôle, c’est lui qui devra signaler toute faille de sécurité aux autorités.
• Faites un inventaire : Listez tous les types de données que vous collectez ainsi que les modalités qui s’y rapportent tel que l’endroit et la durée de stockage ou encore l’accès ou le partage avec des tiers.
• Priorisez vos actions : Identifiez un plan d’action en prenant en compte l’urgence et les risques que vous courrez à partir de mai 2018 si vous ne changez pas la manière dont vous traitez et/ou communiquez ces données.
• Gérez les risques : Pour chaque traitement des données que vous aurez identifié comme susceptible d’être un risque pour la liberté des personnes, vous devrez apporter une ou des modifications pour vous assurer d’être conforme.
• Informez et organisez-vous à l’interne : Mettez en place des processus à l’interne pour anticiper n’importe quel scénario, que cela soit un problème de sécurité, un changement de prestataire ou d’accès aux données collectées, etc.