Qu’est-ce le RGPD ?

Dans aucun doute, les messages publicitaires de toutes sortes de consultants vous pleuvent de tous les côtés, vous prévenant en des termes toujours plus pressants des dangers du RGPD – le règlement européen qui entrera en vigueur le 25 mai prochain. Or nous, chez Alaska, tenons à apporter quelques nuances, en vous expliquant clairement ce que le 25 mai 2018 signifiera concrètement pour votre entreprise.

Le traitement des données à caractère personnel ?

Le RGPD (abréviation pour Règlement général sur la protection des données, ou la General Data Protection Regulation) vise le traitement des données à caractère personnel. Or, la notion de ‘données à caractère personnel’ est à entendre au sens le plus large : il s’agit de tout identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou des éléments spécifiques propres à l’identité d’une personne. La notion de ‘traitement’ est, elle aussi, à prendre au sens large du terme, comprenant entre autres l’adaptation, la consultation, l’utilisation,… bref, tout ce que vous faites avec des données personnelles. Le règlement est d’application dès que vous manipulez des données de clients. Si vous entreprenez donc une démarche qui entre dans le champ de ces définitions, vous devez respecter un nombre d’obligations.

Même si ne vous traitez pas des données de personnes physiques (tous vos clients sont des sociétés), mais vous avez du personnel, vous devrez vous conformer aux consignes du RGPD.

Un changement de mentalité : à vous de démontrer que vous êtes en règle

Le règlement RGPD amènera un changement de mentalité chez toute personne qui traite des données à caractère personnel : si auparavant, c’était au plaignant de démontrer que le prétendu auteur d’une infraction avait violé la loi sur la vie privée, la nouvelle Autorité de protection des données pourra s’adresser à tout responsable de traitement de données (même en absence d’une plainte) et ce dernier devra apporter la preuve qu’il respecte les règles. La charge de la preuve est donc renversée et les conséquences d’une ‘non – compliance’ ne seront pas des moindres, avec des amendes administratives pouvant atteindre jusqu’à 4 % du chiffre de votre chiffre d’affaires annuel mondial.

Le contrôle effectif et l’imposition d’amendes seront le fait de la Commission de la protection de la vie privée, qui s’appelle désormais « l’Autorité de protection des données ».

Dans la pratique, que devez-vous faire ?

  • Menez une réflexion

Tout d’abord, il faudra vous poser la question quels sont les documents dont vous disposez déjà, quelles sont les procédures en vigueur dans votre entreprise, avec qui précisément vous échangez des données personnelles ou sur quelle plateforme ces données sont stockées.

  • Déclaration de confidentialité

Les personnes dont vous traitez les données à caractère personnel (les ‘data subjects’) doivent être informées (à l’aide de la déclaration de confidentialité) du fait que leurs données sont traitées, des modalités de ce traitement, de leurs droits et de la façon dont elles peuvent déposer plainte. Si vous avez déjà une déclaration de confidentialité, il faudra l’aligner aux nouveaux droits qui seront en vigueur à partir du 25 mai 2018.

  • Registre des opérations de traitement

Vous serez tenu d’identifier vos procédures et de les mettre au point de façon que, si vous recevez la visite de l’Autorité de protection de données, vous pouvez démontrer que vous respectez les règles. Pour ce faire, la tenue d’un registre des opérations de traitement de données est indispensable.

Le registre doit contenir l’inventaire des données que vous traitez, la façon dont vous les avez collectées et avec qui vous les partagez. En plus, il faudra pour chaque type de données établir le fondement légitime sur lequel repose votre traitement de données.

  • Procédures et protocoles

Il faut établir des procédures réglant chaque aspect du traitement et de la protection des données.

Vous devez vérifier si les procédures actuellement en vigueur dans votre entreprise ou votre organisation prévoient tous les droits dont peut se prévaloir la personne en question, y compris la façon dont les données à caractère personnel peuvent être effacées ou communiquées par voie électronique. Ainsi, le RGPD prévoit notamment les droits suivants pour toute personne concernée :

  • information sur et accès aux données à caractère personnel
  • rectification et effacement des données
  • opposition à l’utilisation des données pour des fins de direct marketing
  • opposition à la prise de décision automatisée et au profilage
  • portabilité des données.

En ce qui concerne la protection des données, la procédure devra prévoir tant la protection que la définition de la procédure à suivre en cas d’une fuite de données potentielle (qui devra, dans certains cas, être notifiée dans les 72 heures).

  • Accords avec les fournisseurs et les sous-traitants

Vous devrez examiner vos accords et vos relations avec vos fournisseurs et vos sous-traitants. En effet, en tant que responsable du traitement, vous aurez une responsabilité à assumer lorsque quelque chose tourne mal chez les ‘traiteurs’(fournisseurs de logiciels ou sous-traitants).

Vous pouvez à cet effet conclure une convention de traitement complémentaire avec vos fournisseurs existants. Si vous avez affaire à de nouveaux fournisseurs, vous devrez accorder une attention spéciale à la problématique du RGPD.

Ce qu’Alaska peut faire pour vous

Alaska veut vous assister pour faire face à ce bouleversement et vous guider d’une façon claire dans ce nouvel environnement de la protection des données.

A cet effet, nous avons développé un nombre de programmes qui, en fonction de vos besoins, vous aideront à vous mettre en règle avec la nouvelle réglementation RGPD.

Le programme RGPD Standard

Pour qui ?

Pour les entreprises unipersonnelles ou les petites entreprises qui ne traitent qu’occasionnellement ou sporadiquement des données personnelles.

Que contient-il ?

  • Un registre de données à caractère personnel
  • Un modèle d’accord de sous-traitant
  • Une déclaration de confidentialité pour le site web
  • Une déclaration en matière de cookies pour le site web
  • Un plan par étapes pour la procédure à suivre en cas de fuite de données
  • Un relevé des procédures et un code de conduite en matière du respect des droits de l’intéressé

Le programme RGPD Full Option

Pour qui ?

Pour les PME et les entreprises et organisations de taille plus importante, qui traitent couramment des données à caractère personnel, telles que les organisations avec des effectifs importants ou qui ont beaucoup de listes de clients, les exploitants de web shops, actifs dans le direct marketing…)

Que contient-il ?

  • Un audit avec rapportage
  • Un registre de données à caractère personnel
  • Un modèle d’accord de sous-traitant
  • Une déclaration de confidentialité pour le site web
  • Une déclaration en matière de cookies pour le site web
  • Un modèle d’un Privacy Impact Assessment
  • Un annexe adapté à joindre au contrat de travail et un code de conduite pour le personnel responsable du traitement de données
  • Un plan par étapes pour la procédure à suivre en cas de fuite de données
  • Un relevé des procédures et un code de conduite en matière du respect des droits de l’intéressé
  • Un rapport des démarches entreprises (obligation d’Accountability)

Data Protection Officer (DPO)

Vous êtes un organisme public ou vous traitez des données personnelles à grande échelle ? Dans ce cas, vous serez obligé de désigner un DPO ou Data Protection Officer.

Si vous ne disposez pas immédiatement d’un DPO certifié au sein de votre organisation, Alaska peut vous mettre à disposition un DPO externe à un tarif à convenir.

Alaska reste à votre entière disposition pour vous guider dans l’implémentation du changement fondamental qu’implique cette nouvelle réglementation. En tant que fournisseur de services pour le portefeuille PME, Un subside de 40% peut être demandé auprès du portefeuille PME. N’hésitez pas à nous contacter à privacy@alaska-group.eu.