RGPD généralités

Extrait de l’émission « RGPD : protection vs. performance », avec Isabelle Falque-Pierrotin (CNIL)

Comment les PME se sont-elles adaptées au RGPD ? Pour Isabelle Falque-Pierrotin, Présidente de la CNIL, le RGPD représente un grand défi pour les PME. De plus, elles ne se sentent pas ou peu concernées par les dispositions du RGPD, comme les études d’impact par exemple. La CNIL s’est alliée à Bpifrance pour toucher ce public et a créé un guide à leur destination pour les accompagner et les conseiller dans leur mise en conformité. Car il faut des outils d’accompagnement différenciés selon les publics cibles (TPE, startups, PME…), stratégie qu’est actuellement en train de déployer la CNIL Diagonales. Regards croisés sur la transformation digitale. Une émission présentée par Fred Haffner. (c) 2018 Conception & Réalisation Orange Business Services / Les Echos Publishing

Recenser et trier les données, vérifier les habilitations, respecter le droit des personnes, sécuriser les systèmes : 4 actions essentielles pour entamer la mise en conformité des entreprises aux règles de protection des données.

En tant que consultants, qui faisons également beaucoup d'accompagnements de mise en conformité, nous savons que la solution passe par une hiérarchisation des priorités. La clé, c'est une approche par le risque. Car si on se limite à une approche purement théorique, il faudrait tout faire tout de suite. Imaginons par exemple un traitement de données qui ne pose pas beaucoup de risques informatiques mais qui est hors cadre, et un autre qui est dans les clous mais avec un risque élevé de fuite. Il est sans doute plus urgent de corriger le second. En tant que formateurs, le moyen de faire passer ce message consiste à vulgariser, à prédigérer l'information pour la restituer en la traduisant dans la réalité des acteurs. "Ce point précis, que veut-il dire concrètement pour moi ?" Il faut que ce soit parlant, ancré dans la pratique. Les stagiaires doivent sortir avec une feuille de route, en ayant compris ce qui est à réaliser. Parfois cela se traduit par l'expression de nouveaux besoins, parfois par une liste des moyens humains et financiers à mettre en face de leurs objectifs.

Pour les organismes collectant et traitant des données à caractère personnel:

• Faire preuve de transparence en fournissant une information claire et intelligible à chaque fois que des données personnelles sont collectées ou traitées ;
• Obtenir le consentement des personnes ciblées ;
• Prévoir et garantir la sécurité des données récupérées et traitées ;
• S’assurer de la compliance des partenaires techniques ou autres, ayant accès aux données ;
• Nommer un délégué à la protection des données (DPD ou DPO) dans certains cas
• Respecter les droits des personnes (droit d’accès à leurs données, droit d’opposition, de limitation, de rectification…);
• Faire une étude d’impact préalable en cas de données sensibles ;
• Tenir un registre des traitements (une obligation pour certaines entreprises pour lesquelles les traitements de données sont essentiels) ;
• Informer rapidement la CNIL et les personnes concernées après une fuite de données.