RGPD – Commencez dès maintenant

Bien que cela ait prit du temps, le nouveau Règlement Général Européen sur la Protection des Données s’apprête à générer de grands changements dans le domaine de l’archivage, du traitement et du transfert des données à caractère personnel par les organisations de l’UE.

Il aura également un impact important sur les entreprises basées en dehors de l’UE mais traitant avec des résidents de l’UE. Cela inclus bien entendu jusqu’aux grandes entreprises de e-commerce internationales !

Cela vaut certainement la peine de jeter un œil sur les principales raisons pour lesquelles vous ne devriez pas attendre la date limite du 25 mai 2018 pour vous conformer au règlement.

C’est la loi

Le RGPD est une loi applicable dans tous les pays membres de l’UE et votre organisation devra s’y conformer avant la date limite.

Amendes et pénalités

Le RGPD comprend plusieurs niveaux d’amendes. Une entreprise peut être condamnée à une amende allant jusqu’à 2% de son chiffre d’affaires pour ne pas présenter les documentations appropriés (Article 28), pour ne pas avoir informé les autorités de contrôle et les personnes concernées au sujet d’une violation de données (Article 31 et 32), ou pour ne pas avoir réalisé une analyse d’impact sur la protection des données (Article 33). La violation des principes de base liés à la sécurité des données (Article 5) et des conditions de consentement des consommateurs (Article 7) peut engendrer une amende allant jusqu’à 4% du chiffre d’affaires.

Risques de poursuites judiciaires

Les personnes concernées ont le droit de demander réparation judiciaire contre les responsables du traitement des données et les sous-traitants ainsi que d’obtenir des compensations de leur part pour les dommages causés par ces violations du RGPD.

Des changements compliqués

Toutes les organisations devront effectuer des changements de politiques, procédures et contrats et prendre des mesures de conformité aussi bien techniques qu’organisationnelles. Cela signifie que vous devrez changer votre façon de traiter avec vos clients, vos partenaires ainsi que vos actionnaires clés.

Vous aurez besoin de contrôles techniques et organisationnels appropriés

L’Article 24 précise que le responsable des données doit mettre en place des mesures techniques et organisationnelles appropriées afin de garantir que les procédures suivies sont conformes au règlement et d’être capable de le prouver. Cela devrait être assez simple si vous êtes déjà conforme à l’ISO 27001 mais pourrait être une problématique importante si la sécurité des informations mise en place est basique. Vous devrez bien entendu documenter chacune de ces procédures.

Analyse d’impact sur la Protection des Données

Cette analyse est maintenant obligatoire pour les organisations utilisant des technologies ou des procédures présentant un risque important vis-à-vis des droits et libertés des personnes concernées.

Violations de données

Il sera obligatoire (Article 33) pour toute organisation de signaler toute violations de données à son autorité chargée de la protection des données (DPA) dans les 72 heures après avoir appris l’existence du problème. Elles devront également mettre en place des procédures de réponse aux incidents et de rapport de violation de données y compris le contrôle continu et la maintenance.

Pour commencer dès maintenant, nous vous proposons de réserver votre place lors de notre prochaine Formation Certifiée d’Introduction au Règlement Général Européen sur la Protection des Données (RGPD). Nos prochaines dates sont le 24 avril 2017 à Bruxelles et le 18 mai 2017 à Paris. Des cours sont également disponibles en Anglais dans d’autres villes Européennes.

Leave a Reply

Your email address will not be published. Required fields are marked *