Les conséquences de la réglementation RGPD sur votre entreprise

Travail

Le compte à rebours avant l’entrée en vigueur du RGPD s'égrène impitoyablement. Dès le 25 mai 2018, les entreprises de toute l’Europe devront satisfaire aux dispositions du Règlement général sur la protection des données (General data protection regulation, en anglais) qui a été voté par le Parlement européen le 14 avril 2016. Vous n’avez aucune idée de l’impact de cette législation sur votre entreprise et des mesures que vous devrez prendre pour y satisfaire ? Le texte voté par le Parlement remplace l’ancienne directive sur la protection des données 95/46/CE de 1995 et compte 261 pages. Mais rassurez-vous : vous ne devrez pas parcourir toute cette littérature, dont vous trouverez un résumé pratique ci-dessous.

29.06.2017
Par Céline R

RGPD : protection des données à caractère personnel
Le RGPD n’est évidemment pas tombé du ciel. Cette nouvelle législation apporte une réponse aux besoins de l’économie digitale moderne, dans laquelle les entreprises récoltent une masse d’informations sur leurs clients et collaborateurs, légitimement soucieux du respect de leur vie privée. En tant qu’entreprise, vous devrez respecter le RGPD chaque fois que vous collectez des données à caractère personnel, et ce, dès le 25 mai 2018. Vous pensez que tout cela ne concerne pas votre entreprise ? Ne tirez pas cette conclusion trop vite… La définition de ce qui est juridiquement considéré comme « donnée à caractère personnel » évolue, en effet, de telle sorte que vous devrez peut-être revoir la manière dont vous embauchez du personnel, l'utilisation de la surveillance par caméras sur le lieu de travail, les contrats (que vous partagez ou pas avec des prestataires de services), mais aussi le suivi de Facebook ou des contrôles d'entrées et de sorties.  

Collecte de données : d’accord ou pas ?
Il est clair que le RGPD a de profondes conséquences. Votre entreprise doit ainsi prévoir un avertissement clair lorsqu’elle est sur le point de collecter toute donnée (tant hors ligne qu'en ligne) et demander l'autorisation préalable de le faire. Il s’agit déjà d’un défi de taille pour la plupart des sites web qui, dès l’année prochaine, ne pourront plus collecter d’informations par le biais de cookies sans que le visiteur l'accepte explicitement.

Enregistrer des données : protéger et accorder les accès appropriés
Quelle que soit la méthode que vous utilisez pour sauvegarder les données de vos clients et collaborateurs, votre système doit être absolument hermétique. Cela coule de source, mais saviez-vous que vous devez également tenir compte du "droit à l'oubli" ? Votre entreprise doit pouvoir effacer les données à caractère personnel de toute personne qui le demande, même si vous avez échangé entre-temps ces informations avec des tiers. Les clients et travailleurs peuvent, en outre, demander à tout moment de consulter leurs données et transférer ces dernières (quand ils veulent, par exemple, changer de prestataire de services). Ici aussi, la plupart des systèmes actuels ne sont pas tout à fait prêts à le permettre.

Notifier les fuites de données
Enfin, les entreprises sont tenues de notifier les fuites de données dans un délai de 72 heures, sauf si elles peuvent démontrer que la fuite ne constitue pas un danger pour les données que vous avez sauvegardées. Il ne s’agit donc pas seulement de renforcer votre politique de vie privée, mais de peaufiner votre politique de sécurité et de prendre des mesures de précaution contre les cyberattaques. Si vous vous lancez dans des négociations avec une partie externe lors de la découverte d’une violation de sécurité, vous courez le risque de ne pas tenir le délai de 72 heures.