Ouest Médias - Agence digitale Nantes Saint-Nazaire

RGPD : bien s'y préparer avec la CNIL

Le nouveau Règlement européen sur la protection des données, le RGPD, entrera en vigueur le 25 mai 2018. Il fixe un cadre très précis quant à l'utilisation des data personnelles par les entreprises, des plus petites aux plus grandes. Les TPE, souvent les moins structurées, doivent s'y préparer, faire preuve d'anticipation et de vigilance. L'amende, en cas de sanction, pourra atteindre jusqu'à 4% du chiffre d'affaires. Le principe central du texte est celui du libre-arbitre de la personne. Pour en savoir plus, la CNIL a édité 17 fiches pratiques disponibles en ligne.

Sur le plan pratique, pour une TPE ou PME qui traite des données dans le cadre de son activité (fichier des clients, newsletter, abonné(e)s à un service d'assistance en ligne…), sans parler des startups 100% digitales pour lesquelles la data est souvent au cœur du modèle économique qui repose, par exemple, sur une plateforme SaaS ou un object connecté (iOT), l'entrée en vigueur du RGPD ne doit pas être traitée à la légère.

Deux axes complémentaires à distinguer :

  • #01 : Le droit à l'information renforcée de la personne qui est placée au centre du dispositif… c'est à l'entreprise de lui faire comprendre de façon explicite que ses données sont collectées, traitées puis archivées. Cette information doit être claire, compréhensible par tous et accessible de façon simple ainsi que directe, notamment sur le site web de l'entreprise.
    • C'est la fin du consentement implicite autour de conditions générales si vagues et longues que personne ne les lit et coche la case OK par défaut. Avec le RGPD, chaque destination particulière des données doit être stipulée et donner lieu à une validation particulière.
  • #02 : La responsabilité de l'entreprise est directement engagée si une démarche adaptée au respect des règles du RGPD n'est pas suivie par l'entreprise. L'article 32 stipule ainsi que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». La charge de la preuve incombe en permanence à l'entreprise.

Le guide CNIL sur le RGPD : quatre étapes à suivre

Dans la présentation de ses travaux, la CNIL simplifie la tâche des entreprises. La commission fixe en effet les quatre étapes à mettre en œuvre pour une bonne prévention et gestion des risques :

  1. Recenser les traitements de données au sein de l'entreprise
  2. Apprécier les risques
  3. Mettre en œuvre et vérifier les mesures prévues
  4. Faire réaliser des audits de sécurité périodiques

Evaluer votre niveau de préparation au RGPD grâce à la matrice d'analyse proposée par la CNIL…

Sur le même sujet : RGPD… ce qu'il faut savoir (source BPI)

Les fiches pratiques du guide édité par la CNIL