Abonnez-vous gratuitement à Decideo !


Decideo

 


Les règles de confidentialité de l'UE évoluent : ce que les entreprises françaises doivent savoir


Rédigé par Damian Scragg, Evidon le 2 Janvier 2018

Avec l'entrée en vigueur du règlement général sur la protection des données (GDPR) en mai 2018, les entreprises s'efforcent de se préparer. Et à juste titre, les amendes pour non-conformité pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel – le plus élevé des deux chiffres.



Damian Scragg, Evidon
Damian Scragg, Evidon
Mais il existe un moyen simple de préparer les données sous la forme d'un plan en six étapes, publié par la Commission Nationale de l'Informatique et des Libertés (CNIL) au début de l'année. En suivant le plan, les entreprises veilleront non seulement à ce que les exigences de la réglementation soient pleinement respectées, mais aussi à ce que la conformité se traduise par une communication claire, une transparence et une confiance accrue des clients.

Voici un aperçu détaillé du plan en six points de la CNIL pour la préparation du GDPR :

Étape 1 : Diriger en interne
Le GDPR oblige les entreprises à nommer un délégué à la protection des données (DPD) dans certaines circonstances, par exemple si elles effectuent un suivi systématique à grande échelle des personnes, y compris le suivi du comportement en ligne. Mais même s'il ne s'agit pas d'une obligation légale, un DPD peut donner des conseils sur les obligations, surveiller la conformité et fournir le leadership nécessaire pour impliquer toute l'entreprise – après tout, la conformité au GDPR doit être une éthique à l'échelle de l'entreprise. Un DPD doit provenir du service juridique ou informatique et connaître de A à Z les pratiques de protection des données de l'entreprise.

Étape 2 : Traitement des données cartographiques
Procéder à un examen interne des données permet aux entreprises de comprendre quelles données elles collectent, stockent et traitent, et facilite la mise en conformité. La CNIL fournit un modèle qui aide à exécuter ce processus. Les entreprises doivent également comprendre quelles données sont collectées en leur nom par les partenaires et ce qu'il advient des données qu'elles collectent elles-mêmes. Les deux tiers (67 %) des entreprises affirment qu'il existe sur leur site Web des technologies qu'elles ne connaissent pas, lesquelles pourraient transmettre des données à des tiers, ce qui pose un problème de conformité au GDPR. Plus de données signifiant plus de risques, les entreprises doivent définir quels flux de données sont critiques et supprimer les données redondantes.

Étape 3 : Clarifier les priorités
Une analyse des lacunes permettra aux entreprises de voir quelles mesures elles doivent prendre pour répondre aux exigences du GDPR, au-delà de leurs pratiques de données de base. Ces mesures devront être hiérarchisées en fonction de leur impact sur la vie privée des personnes concernées. Obtenir un consentement explicite par rapport au traitement des données est l'un des aspects les plus importants du GDPR, et la non-conformité entraîne le plus haut niveau d'amendes. Aussi, ce consentement doit figurer en tête des priorités et s'accompagner de politiques de confidentialité claires et transparentes.

Étape 4 : Maîtriser les risques
Lorsqu'une entreprise procède à un traitement susceptible d'entraîner un risque élevé pour les droits et les libertés des personnes concernées, y compris le profilage, elle doit effectuer des évaluations de l'impact de la protection des données (PIA). Si les données sont sensibles, à grande échelle, impliquent des jeux de données appariés ou touchent des personnes vulnérables, elles peuvent être considérées comme présentant un risque élevé. Les PIA aident à identifier et rectifier à un stade précoce les problèmes potentiels liés au traitement des données à haut risque et la CNIL a des lignes directrices spécifiques sur la manière d'entreprendre les évaluations.

Étape 5 : Organiser les processus internes
Pour maintenir la conformité GDPR, les entreprises devront mettre en œuvre divers processus internes. Parce que la réglementation donne aux consommateurs le droit de consulter ou de modifier les données stockées à leur sujet, et de faire supprimer ces données ou de les transférer à une autre entreprise, des processus doivent être en place pour traiter ces demandes. Un processus doit également être mis en place pour traiter les violations de données, notamment en signalant la violation à l'autorité de surveillance compétente et, le cas échéant, aux personnes concernées. La CNIL proposera sur son site Web une fonctionnalité permettant de signaler les violations.

Étape 6 : Maintenir les enregistrements internes
Pour prouver qu'elles sont en règle, les entreprises doivent documenter leurs activités de traitement, en particulier si ces activités présentent un risque élevé pour les droits des personnes concernées. La documentation doit être mise à jour régulièrement et inclure des éléments tels que les catégories de données collectées, l'objectif du traitement, des détails sur tous les transferts de données, les calendriers de conservation des données et les mesures de sécurité organisationnelles.

Les étapes menant à la conformité avec le GDPR peuvent intimider, mais le principe sous-jacent consiste simplement à « faire ce que vous dites et dire ce que vous faites », et les entreprises considérées comme montrant la voie peuvent être grandement récompensées dans le développement de la relation client. Parce que les jeux de données de qualité se traduisent par une communication pertinente qui, associée à une protection responsable des données, conduit à la confiance et à l'implication des consommateurs, la conformité avec le GDPR doit être considérée comme une opportunité très réelle.




Nouveau commentaire :
Facebook Twitter

Vous pouvez commenter ou apporter un complément d’information à tous les articles de ce site. Les commentaires sont libres et ouverts à tous. Néanmoins, nous nous réservons le droit de supprimer, sans explication ni préavis, tout commentaire qui ne serait pas conforme à nos règles internes de fonctionnement, c'est-à-dire tout commentaire diffamatoire ou sans rapport avec le sujet de l’article. Par ailleurs, les commentaires anonymes sont systématiquement supprimés s’ils sont trop négatifs ou trop positifs. Ayez des opinions, partagez les avec les autres, mais assumez les ! Merci d’avance. Merci de noter également que les commentaires ne sont pas automatiquement envoyés aux rédacteurs de chaque article. Si vous souhaitez poser une question au rédacteur d'un article, contactez-le directement, n'utilisez pas les commentaires.


Twitter
Rss
LinkedIn
Google+
Facebook
Pinterest