CCI Nantes St-Nazaire
CCI Nantes St-Nazaire
16 Quai Ernest Renaud - CS 90517
44105 Nantes Cedex 1

Tel : 02 40 44 60 00
communication@nantesstnazaire.cci.fr

Actualité

RGPD : 99% des entreprises sont concernées !

Économie - 23 Février 2018

RGPD : 99% des entreprises sont concernées !

Le 25 mai 2018, toutes les entreprises collectant, exploitant ou stockant des Données à Caractère Personnel (DCP) devront respecter le Règlement Général sur la Protection des Données (RGPD). Éléments de réponse pour y voir un peu plus clair.

24h pour vous repondreUne question ? Nos conseillers vous répondent !

Qu’est-ce que le RGPD ?

 

Le nouveau règlement applicable dès le 25 mai 2018, permet de renforcer les droits des citoyens européens et leur donner plus de contrôle sur leurs données personnelles. Il simplifie les formalités pour les entreprises et leur offre un cadre juridique unifié. En France, sa mise en œuvre est placée sous l’autorité de la CNIL.

Une donnée personnelle est une donnée liée à une personne physique, et qui la caractérise. Il s’agit donc classiquement du nom, prénom, adresse, adresse email, mais aussi la date de naissance, l’adresse IP... En somme, toute information permettant d’identifier une personne physique directement ou indirectement. Une réunion d'informations est organisée le 13 mars à la CCI de Nantes : inscrivez-vous !

êtes-vous en conformité ?

 

Voici la liste des étapes à suivre :

Désigner un pilote au sein de votre entreprise : le DPO

Le DPO est en charge de piloter le RGPD au sein de la structure. Il sera le responsable des analyses d’impact, le point de contact avec les utilisateurs finaux et la CNIL et veillera au respect du RGPD. Naturellement, le DPO remplacera l’ancien Correspondant Informatique et Libertés (CIL). Le DPO peut être externalisé et/ou mutualisé. En cas de violation de données à caractère personnel, le DPO de l’entreprise doit communiquer à la CNIL les fuites de données dans un délai maximal de 72 heures à compter du moment où elles en ont connaissance. Il doit également informer les utilisateurs dont les informations ont fuité. En savoir plus.

Cartographier les traitements de données à caractère personnel et tenir un registre des traitements

L’entreprise doit recenser et identifier les données collectées et traitées par celle-ci. Elle devra par la suite tenir un registre de traitement pour identifier clairement et rapidement les parties prenantes et les données concernées en cas d’incident de sécurité. En savoir plus.

Prioriser les actions basées sur le registre des traitements

A l’aide du registre des traitements, l’entreprise devra identifier les actions à mener pour être en conformité aux règlements et les prioriser selon les risques que peuvent encourir les personnes concernées en termes de droits et de libertés. Les outils de l’entreprise doivent, dès qu’ils permettent le traitement d’une donnée personnelle, être sécurisés, comporter des règles de gestion et des processus automatisés qui suppriment, bloquent, anonymisent ou chiffrent les données personnelles. En savoir plus.

Gérer les risques en menant une « EIVP » : étude d’impact sur la vie privée

Si l’entreprise identifie des traitements de données à caractère personnel susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, elle devra mener pour chacun de ces traitements, une analyse d'impact sur la protection des données (PIA). En savoir plus.

Organiser les processus internes en intégrant le RGPD dans tous les processus en place

Tous les services de l’entreprise sont impactés par le RGPD : la DSI (sécurisation des SI), le service juridique (conformité aux législations applicables) ; le service commercial (relations clients/fournisseurs) ; le service marketing, (manipulation de nombreuses DCP) ; enfin la Direction Générale (nouvelles sanctions relevant de son autorité). L’entreprise doit mettre en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire). En savoir plus.

Documenter la conformité

L’entreprise devra prouver sa conformité via des outils, documents tels que : EIVP, registre, processus, etc. En savoir plus.

Renforcer la protection des consommateurs

 

Cette réglementation a pour objectif de renforcer la protection des consommateurs, leurs données ne seront que « prêtées » aux entreprises.
 
Ainsi, ils resteront les uniques propriétaires de ces dernières pouvant exercer tous les droits dessus :
  • droit au Consentement : autorisation explicite,
  • respect de la vie privée : étude d’impact pour les risques élevés sur la vie privée,
  • transparence : droit de savoir à quoi servent ses données,
  • profilage : droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé,
  • possibilité de désabonnement : désabonnement possible à tout moment,
  • droit à l’oubli : possibilité de réclamer la suppression de ses données,
  • contact inactif : tous contacts inactifs depuis plus de 3 ans doit être retirés des traitements,
  • droit à la portabilité : possibilité d’exporter directement ses données.
 
Cette réglementation implique donc une forte réactivité des services de l’entreprise, depuis son DPO jusqu’aux services techniques s’il s’agit de supprimer ou de porter une donnée.

QuELS SONT LES RISQUES POUR VOTRE entreprise en cas de non-respect du règlement ?

 

En cas de non-respect du RGPD, l’entreprise s’exposera à diverses sanctions :
  • une sanction en cas de manquement simple peut aller jusqu’à 2% du CA de l’entreprise (dans le cas d’une entreprise faisant partie d’un groupe international, il s’agit de 2% du CA du groupe) ou jusqu’à 10M d’euros,
  • en cas de faute grave, la sanction est doublée. Dans tous les cas, le montant le plus élevé est retenu.
 
Au-delà du préjudice financier, les répercussions seront les plus fortes au niveau de l’image de l’entreprise fautive. Car l’objectif de ce règlement n’est pas de punir la fuite de données, mais de prévenir les comportements à risque des entreprises peu regardantes des données personnelles.
 

Ajout à vos favoris

Cette page a été ajoutée à vos favoris dans votre espace personnel.

Votre contact

CENTRE DE RELATION CLIENTS

02 40 44 60 00

Recommander à un ami loader

Nos produits et services

Accéder à toute l’offre CCI