cabinet rgpd Paris

Mise en conformité RGPD de son entreprise

Comment mettre en conformité RGPD son entreprise : décryptage

Inovency, cabinet de conseils en transformation digitale des entreprises à Paris, propose son expertise pour vous accompagner dans votre mise en conformité RGPD. Devenu obligatoire, cette mise en conformité demande méthodologie et patience, et peut s’avérer très couteuse en cas de non-respect. La Cnil à déjà sévit plusieurs fois cette année, notamment avec l’amende record de 3 millions au groupe Carrefour. Alors pour savoir par quelle étape commencer, n’hésitez pas à solliciter notre cabinet spécialisé en accompagnement RGPD.

Le rapport d’activité de l’année 2018 de la CNIL fait apparaitre une multiplication des réclamations et des failles de sécurité des données :

–32,5 % de plaintes supplémentaires par rapport à 2018 (11 077 plaintes)

–6 609 vérifications réalisées, 310 contrôles dont 9 sanctions pécuniaires,

–plus de 90% des violations concernant une perte de confidentialité,

–plus d’une plainte sur deux émanent d’un salarié contre son employeur,

–36 % des plaintes déposées ont porté sur la diffusion de données sur internet.

Instaurée en 2018, la loi RGPD permet de limiter l’utilisation des données personnelles par les entreprises européennes. Cette loi complexe, doit scrupuleusement être respectée sous peine de voir son entreprise gravement financièrement sanctionnée. Pour être sûr d’être en règle avec cette mise en conformité, faites vous aider par notre cabinet spécialisé en RGPD à Paris. Inovency vous accompagne du début à la fin de votre processus de mise en conformité.

1.Qu’est-ce que le RGPD ?

La RGPD peut être considérée comme l’ensemble de règles de protection des données le plus solide au monde, qui est conçu pour améliorer la façon dont les gens peuvent accéder aux informations les concernant. Elle impose des limites à ce que les organisations peuvent faire avec les données personnelles.

Le règlement existe en tant que cadre législatif à travers le continent et a remplacé la précédente directive de 1995 sur la protection des données. La forme finale du RGPD est née après plus de quatre ans de discussions et de négociations – elle a été adoptée par le Parlement européen et le Conseil européen en avril 2016.
La RGPD a été mise en application le 25 mai 2018. Les pays européens ont eu la possibilité d’apporter leurs propres petits changements en fonction de leurs propres besoins.

2. Quels types de données de confidentialité le RGPD protège-t-il ?

  1. Les informations d’identité de base telles que le nom, l’adresse et les numéros d’identification
  2. Les données Web telles que l’emplacement, l’adresse IP, les données de cookie et les tags RFID
  3. Les données sanitaires et génétiques
  4. Les données biométriques
  5. Les données raciales ou ethniques
  6. Les opinions politiques
  7. Les orientations sexuelles

Pour réussir ce parcours, plus de 51 000 organismes se sont dotés d’un délégué à la protection des données interne ou externe dès 2018.

3. Qui est concerné par la  RGPD ?

La loi RGPD affecte toutes les entreprises, mais les plus touchées seront celles qui détiennent et traitent de grandes quantités de données sur les consommateurs : les entreprises technologiques ou encore les spécialistes du marketing.
Même le respect des exigences de base en matière d’accès et de suppression des données est une lourde mission pour certaines entreprises, qui ne disposaient peut-être pas auparavant d’outils pour rassembler toutes les données qu’elles détiennent sur un individu. L’impact  le plus fort est sur les entreprises dont les modèles commerciaux reposent sur l’acquisition et l’exploitation des données des consommateurs à grande échelle. Si les entreprises s’appuient sur le consentement pour traiter les données, ce consentement doit maintenant être explicite et éclairé – et renouvelé si l’utilisation change.

4. Que risque les entreprises en cas de non-respect de la mise en conformité ?

La CNIL dispose du pouvoir d’interrompre  temporairement les traitements de données. Ceci peut causer de nombreux problèmes pour les  entreprises dont les traitements de données constituent leur activité principale. Si malgré les divers rappels à l’ordre, la CNIL prouve qu’un organisme ne veuille pas se mettre en conformité, elle peut décider de lui infliger une amende sur son chiffre d’affaires

Par exemple, pour une entrave aux règlements comme le défaut de tenue d’un registre des traitements, le défaut d’annonce suite à une faille décelée ou encore le défaut d’étude d’impact sur la vie privée — en cas de données sensibles — l’’amende peut atteindre 2 % du chiffre d’affaires mondial de l’entreprise ou la somme de 10 millions d’euros. Autant dire, que le non respect de la RGPD, peut vous coûter très cher, et pénaliser durablement votre croissance.

L’amende peut monter jusqu’à 4 % du chiffre d’affaires mondial ou les 20 millions d’euros en cas de refus de mise en conformité face aux mise en demeure de la CNIL, en cas de traitements de données illégaux, de défaut de consentement, de manque de prudence lors des transferts transfrontaliers de données ou encore de non-respect des droits des personnes.

A ajouter aux multiples amendes, d’éventuels demandes de dommages et intérêts si une personne concernée par une des violations porter plainte. La facture pourrait être encore bien plus salée …

5. Les 6 étapes à suivre de la mise en conformité

De nombreuses formalités auprès de la CNIL disparaissent. En contrepartie, la responsabilité des organismes est renforcée. Voici les 6 étapes conseillées par la CNIL pour être en accord avec la mise en conformité.

Etape 1 : Désigner un pilote

Pour mettre en conformité votre entreprise , vous aurez besoin d’un véritable chef d’orchestre qui aura une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données.

Etape 2 : Cartographier vos traitements de données personnelles.

Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.

Etape 3 : Prioriser

Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

Etape 4 : Gérer les risques

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact relative à la protection des données (AIPD).

Etape 5 : Organiser les processus internes

Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).

Etape 6 : Documenter la conformité

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Inovency, Cabinet de conseils à Paris, vous aide à la mise en conformité RGPD de votre entreprise

No Comments

Post A Comment