LA PROTECTION DE LA DONNEE PERSONNELLE – RGDP

Qu'est ce que la protection de la donnée personnelle ? RGDP

Le règlement européen sur la protection de la donnée entrera en vigueur le 25 mai 2018. A ce moment là , toutes les entreprises européennes devront être conformes aux obligations du texte. Quelles sont ces obligations ?

– La gestion du consentement clarifié: dès que vous « traitez »(ie enregistrer dans un système informatique) des données à caractère personnel, vous devez recueillir un consentement explicite de l’intéressé. Le consentement implicite est proscrit. A noter que le fait d’avoir une relation contractuelle avec cet individu vous exonère de cette obligation (dans la mesure où les données recueillies sont nécessaires et suffisantes pour mettre en œuvre ce contrat).
– L’information: vous devez informer les individus que vous stockez leurs informations dans vos systèmes, même si c’est pour la bonne exécution du contrat.
– L’individu bénéficie de nouveaux droits qu’il vous appartient de gérer: effacement/oubli, rectification, accès à ses informations, restriction de process, portabilité, opposition au traitement automatique, et profiling.
– L’entreprise doit tenir un registre des traitements de la donnée personnelle au sein de l’entité.
– La sécurité des informations doit être assurée de manière adéquate. Les données doivent avoir une juridiction, ne pas être accédées par n’importe qui et protégées de manière sérieuse (encryption, anonymisation)
– Les données ne doivent pas sortir de l’espace européen, la circulation/transmission de données personnelles sur les réseaux internes de l’entreprise doit être limitée au maximum et est à bannir  à terme.
– La nomination d’un DPO, Data Protection Officer

Le non respect de la réglementation peut entrainer des pénalités allant jusqu’à 4% du chiffre d’affaire dans la limite de 20M€.

Même si le texte a un caractère universel, en pratique ne sont concernées dans un premier temps que les entreprises qui ont plus de 250 salariés (car certaines obligations ne s’appliquent qu’aux entreprises de plus de 250 salariés).

A noter enfin que le texte s’applique à tous les individus enregistrés dans les systèmes de l’entreprise, en particulier donc ses salariés, ses sous traitants, ses clients et ses prospects.

Notre approche projet RGDP

Nous avons déjà mené quelques projets RGDP au sein de BFD Partners. Nous avons pu ainsi développé et éprouvé une méthodologie qui permet de se mettre rapidement en ordre de marche pour être conforme.

Les projets sont en général importants (plusieurs mois à prévoir), avec un impact important au niveau du juridique et de l’informatique.

Notre méthodologie:

  1. Etat des lieux: une semaine ou deux selon la taille de l’entreprise pour se rendre compte de ce qui est déjà fait sur les données personnelles, et identifier les gaps avec la réglementation. A l’issue de ce premier audit, une restitution est organisée, des chantiers identifiés (en général : gouvernance, informatique, legal, change)
  2. Recensement des processus de données personnelles par fonctions (phase qui peut être effectuée par les services de l’entreprise)
  3. Enregistrement des processus dans un outil (Excel est possible),
  4. Désignation du DPO et rédaction des procédures,
  5. Mise en place des outils informatiques nécessaires (encryption, pseudonymisation)
  6. Informations aux individus, recueil consentement si besoin. Mise en place des procédures et des outils de reporting éventuels.
  7. Autres: aspects extra territoriaux si besoin (filiales étrangères, informatique, etc.) cas spéciaux

Certaines phases peuvent être menées en parallèle. Vu l’ampleur des travaux, nous vous conseillons de commencer votre projet RGDP le plus tôt possible. Des budgets importants devront y être consacrés.

Externaliser votre DPO

A partir de Juin 2018, une nouvelle fonction verra le jour au sein des entreprises, le « Data Protection Officer » en abrégé le DPO, ie un responsable de la protection de la donnée qui sera responsable de la bonne tenue des registres de données personnelles et devra rendre des comptes auprès du régulateur.

Cette nouvelle fonction est obligatoire pour toutes les entreprise de plus de 250 salariés. Recruter une personne dédiée sur ce poste peut s’avérer très compliqué pour les PME : difficulté à trouver ce genre de profil peu disponible sur le marché du travail actuellement, qui nécessite des compétences pointues et une activité pas assez soutenue pour justifier de l’embauche d’une personne à plein temps sur le poste. Cela dépend évidemment du type d’activité mais pour donner un ordre d’idée, nous pensons qu’un DPO à plein temps n’est pas nécessaire lorsque la société a moins de 1000 salariés. Dès lors, les PME peuvent redéfinir une fonction en interne pour l’inclure, mais il ne faut pas négliger la charge de travail supplémentaire, de même que les compétences pointues nécessaires pour le poste. Les conflits d’intérêts sont à proscrire, le DPO est censé donc être indépendant de la DSI par exemple. Pour toutes ses raisons, il peut s’avérer plus judicieux pour une entreprise d’outsourcer cette fonction.

BFD Partners vous offre la possibilité d’externaliser la fonction de DPO, en facturant au temps passé par mois (en général quelques jours par mois). Nous assurons le suivi des registres de données, des procédures. En mutualisant les bonnes pratiques, vous êtes sûrs d’être en règle sur vos obligations réglementaires, le tout pour un coût maitrisé. N’hésitez pas à nous contacter pour en savoir plus.

A noter que nous ne faisons pas ce genre de prestation sans un état des lieux préalable exhaustif de la situation de l’entreprise vis à vis de RGDP.