5 étapes à franchir pour se mettre en conformité avec le RGPD
Pleinement applicable à partir du 25 mai 2018, le RGPD va simplifier, harmoniser et renforcer la protection des données personnelles sur le territoire européen et au-delà. Ce règlement devra être appliqué par toute entité qui réalise un traitement des données à caractère personnel d’un citoyen européen. Que doit-on faire pour se mettre en conformité avec ce nouveau règlement ? Que risque-t-on en cas de non-conformité ?
Les 5 étapes d’une mise en conformité réussie
Pour la mise en conformité RGPD, les entreprises devront concevoir et adopter une méthodologie de gestion de projet, prévoir un budget et établir un calendrier. Le processus peut être divisé en plusieurs étapes.
- Sensibiliser la direction générale à l’importance de se mettre en conformité avec le RGPD afin de créer une dynamique propice au changement ;
- Désigner un DPO pour conduire et suivre la mise en application du nouveau règlement sur la protection des données. Il assistera les dirigeants dans le processus, travaillera en étroite collaboration avec les différents services de l’entreprise pour appliquer les changements apportés par le RGPD et sensibilisera l’ensemble des collaborateurs aux enjeux du RGPD ;
- Procéder à l’inventaire et au recensement de tous les traitements de données personnelles réalisés par l’entreprise. Il s’agira de dresser un registre de traitement contenant diverses informations : conservation des données, catégorie des données, finalités, mesures de sécurité appliquées pour leur stockage…
- Mise en place d’une procédure interne clarifiant la politique de gestion, de conservation et la protection des données personnelles. Ces procédures permettront par la suite de mieux répondre aux requêtes des personnes concernées (demande d’exercice des droits) ;
- Mettre en place un outil de reporting pour prouver sa conformité au RGPD et démontrer sa bonne foi.
La mise en conformité est certes difficile, mais pas insurmontable. De plus, c’est un passage obligé si’ l’on veut éviter les sanctions.
Les risques en cas de manquement au RGPD
L’un des défis majeurs du RGPD est de forcer les entreprises à améliorer leur politique de protection des données. C’est pourquoi les sanctions qu’il prévoit sont très sévères.
Les sanctions financières
Les anciennes lois sur la protection des données ont échoué dans leur but (encadrer le monde de la protection des données) en raison de l’inefficacité des sanctions financières qu’elles prévoyaient. Et pour cause, jusqu’en 2016, le montant maximal des amendes que pouvait prononcer la CNIL n’était que de 3 millions d’euros. Des bribes pour de grandes entreprises comme Google. Mais cela va changer avec le RGPD. Les sanctions financières pour le non-respect d’une obligation portant sur la protection des données peuvent atteindre les 10 millions d’euros ou 2% du chiffre d’affaires annuel de l’exercice précédent. Et si le manquement porte sur une obligation liée aux droits des personnes, la sanction pourra atteindre les 20 millions d’euros ou 4% du chiffre d’affaires.
Les sanctions administratives
Outre les sanctions financières, les autorités de contrôles peuvent prononcer des sanctions administratives à l’encontre des entités non conformes au RGPD : avertissement, mise en demeure, limitation temporaire ou définitive de l’activité de traitement, demande d’exécution de mise en conformité, suspension des flux de données, demande de rectification-limitation-rectification des données.