Le RGPD (Règlement Général sur la protection des données) est entré en application pour l’ensemble des organisations de l’Union européenne le 25 Mai 2018. 

Après un bref rappel des enjeux et principes fondamentaux, l’idée est ici d’analyser de dresser un « bilan » après 3 ans. En effet, s’il y a 3 ans, en abordant le sujet nous entendions souvent en guise de réponse « le RG…QUOI ? » nous constatons aujourd’hui que le RGPD est un sujet que beaucoup d’organisations connaissent … Mais ces connaissances sont-elles accompagnées de véritables études et revues des process ?… C’est certainement là que le bas blesse. 

RGPD : Rappel des principes fondamentaux 

Le Règlement Européen pour la Protection des Données (RGPD) paru en Avril 2016, est pleinement entré en vigueur le 25 Mai 2018. 

L’objectif de ce règlement est de protéger les données privées des citoyens européens. Il leur confère de nouveaux droits pour leur permettre de maitriser la collecte et l’utilisation de leurs données. 

De plus, le RGPD s’applique à tous les états membres de l’union européenne ainsi qu’à toutes les organisations traitant des données à caractère personnel de résidents européens. 

Il est composé de 193 considérants et 99 articles … mais de manière globale, il s’article autour de 4 grands principes :  

RGPD : Comment entrer dans le process de mise en conformité ? 

La CNIL, autorité de contrôle désignée pour la France, a, lors de ces nombreuses publications sur le sujet, décrit les étapes de mises en conformité. En effet, après 3 ans nous constatons que même prises de très bonnes intentions, certaines organisations sont freinées dans leur process de mise en conformité pour une raison simple : Mais par quel bout commencer ? 

Voici un premier élément de réponse :  

Après 3 ans, quel bilan peut-on dresser ? 

Si la mise en œuvre des principes du règlement peut parfois rebuter certaines organisations du fait de la complexité des textes, de la lourdeur éventuelle des nouveaux process internes, des nouvelles contraintes liées notamment à l’obligation d’un consentement ou l’obligation d’information …   

Il n’en est pas moins que certains chiffres parlent d’eux même :  

• Les européens sont de plus en plus sensibles aux questions liées à la protection de leurs données à caractère personnel. 
• Par voie de conséquence la CNIL enregistre une nette augmentation des réclamations : nous sommes passés de 1000 par an en 2018 à aujourd’hui environ 1000 par mois. 

• Les amendes dressées par la CNIL aux organisations françaises ont-elles aussi fait un bon gigantesque : de 51 Millions collectés en 2019 à 138 Millions en 2020. 

Le Règlement répond pleinement aux préoccupations des résidents européens quant à la protection de leurs données. En effet, ces derniers souhaitent être acteurs de ce qu’ils confient aux entreprises et des transferts et business que leurs propres données peuvent générer. 

Partant de là, le RGPD peut d’ailleurs être pris comme un avantage et non plus seulement une contrainte pour les organisations soumises au règlement : il peut être un gage de confiance vis-à-vis des personnes concernées, mais aussi un avantage concurrentiel face à d’autres acteurs de votre marché qui n’auraient pas pris ces dispositions sécuritaires, ou encore un gage de sécurité pour votre structure qui aura certainement dû repenser et “resécuriser” son organisation informatique…. 

Et vous, où en êtes-vous ? 

1. Avez-vous réalisé la cartographie de vos données ? Avez-vous retranscrit le cheminement de vos données en répondant à ces questions :  

• Quelles sont les données que je collecte ? 
• Pour mes prospects ? mes clients ?
• Pour mes collaborateurs ? 
• Qui y a accès ? 
• Qu’est-ce que je fais de ces données ? 
• Combien de temps je les garde ? 
• Comment je les sécurise ? 

2. Ai-je nommé un pilote pour mener à bien mon projet de conformité ? 

3. Les données que je collecte reposent-elles sur une base légale ? 

4. Mon système d’informations est-il suffisamment sécurisé au regard des exigences du règlement ?

5. Est-ce que mes clients, mes collaborateurs, mes prospects savent et consentent à l’utilisation de leurs données par mes services ? 

6. Ai-je rédigé une politique de confidentialité ? 

7. Est-ce que j’informe sur mon site internet que j’utilise des cookies ? Est-ce que, d’ailleurs, je laisse le choix aux internautes ? 

8. Ai-je mis en place ou revue la politique des mots de passe au sein de mon organisation ? Respecte-t-elle les préconisations de la CNIL ?

9. Une charte informatique a-t-elle été mise en place ? 

SI vous avez répondu « non » ou « je ne sais pas » à une de ces questions », il vous reste quelques point d’amélioration à prévoir pour vous assurer une conformité au RGPD. 

Besoin d’aide ?  Contactez-nous !

A lire aussi: La charte informatique et le RGPD  / Quelles sont les sanctions de non-conformité au RGPD ? / RGPD : dans quels cas nommer un délégué à la protection des données ?