La protection des données à caractère personnel est un sujet d’inquiétude grandissante pour les consommateurs dont les données sont collectées. Le nouveau Règlement Général sur la Protection des Données (RGPD, Règlement 2016/679 du 27 avril 2016) entre en vigueur le 25 mai 2018. Ses nouvelles dispositions mettent en place de nouvelles obligations assorties de sanctions lourdes pouvant atteindre plusieurs millions d’euros. Le G29 a clarifié certaines de ces obligations. En particulier, il est à présent obligatoire de documenter les démarches mises en place pour se mettre en conformité, de tenir un registre ou encore de désigner un Délégué à la Protection des Données dans certains cas.
Afin de se conformer, un audit permettant d’établir une cartographie précise de l’ensemble des traitements des données au sein de l’entreprise est conseillé.
Tout le monde est concerné, que ce soit les grands comptes ou les start-up. Votre entreprise est concernée : par son site internet, ses réseaux sociaux, ses programmes de fidélités, par les fichiers clients et prospects ou par la gestion des campagnes marketing. En effet, le règlement a vocation à s’appliquer au traitement de toute donnée à caractère personnel d’une personne se trouvant sur le territoire de l’Union Européenne.
Un plan d’action en 3 étapes semble le plus approprié :
- 1ère étape : cartographier les traitements des données personnelles
Il s’agit d’identifier les traitements des données collectées au sein de l’entreprise : les catégories de données personnelles traitées, les objectifs poursuivis par les opérations de traitement de données, les acteurs traitant ces données, et enfin les flux en précisant leur origine et leur destination.
- 2ème étape : procéder à un audit de conformité
Grâce à la première étape, un bilan et des recommandations personnalisés pourront être établis. À partir de ces informations, vous aurez une vision globale des démarches à effectuer pour que votre entreprise soit conforme aux prescriptions du règlement.
- 3ème étape : accountability – mise en conformité
Enfin, il conviendra d’établir un plan d’action basé sur les résultats de la cartographie et de l’audit. Un Conseil en propriété industrielle pourra notamment vous aidez à pallier les éventuelles lacunes de votre protection actuelle : la tenue d’un registre, la désignation d’un Délégué à la Protection des Données, le droit à la portabilité des données etc.
Ce plan d’action pourra également être accompagné d’un audit de sécurité.
Compte tenu de l’importance des changements, nous recommandons d’engager la mise en conformité dès que possible. Doté à présent d’un département dédié aux problématiques des données à caractère personnel et d’un département assorti de compétences techniques, Dreyfus & associés est le partenaire idéal pour vous accompagner dans cette démarche de transition.