- Pouvez-vous nous rappeler ce qu’on entend par RGPD, quels sont les enjeux ?
L’enjeu du Règlement général sur la protection des données (RGPD) est d’adapter la réglementation aux évolutions technologiques et aux échanges de données.
Il faut rappeler que depuis 1978, la France est pourvue d’une législation en matière de protection des données à caractère personnel : la CNIL.
Compte tenu du phénomène mondial il fallait une réponse au moins européenne pour garantir la préservation des droits de chacun sur ses données personnelles, homogénéiser la législation au sein de chaque pays membre et responsabiliser chaque individu en ce qui concerne le traitement des données sensibles. Le RGPD applicable au sein de l’UE est entré en vigueur le 25/05/2018 et introduit un changement radical des pratiques, plutôt que de soumettre ses projets à une déclaration préalable à la CNIL, il convient d’intégrer en amont dans ses pratiques les réflexes de « protection ».
L’incitation est d’autant plus forte que les sanctions encourues en cas de non-conformité sont substantiellement aggravées.
En conséquence, au-delà d’une simple connaissance des textes, une vraie culture de la protection des données à caractère personnel doit être mise en place au sein des entreprises et cela nous concerne tous car tout le monde produit et utilise aujourd’hui des données à caractère personnel.
- Concernant le traitement des données à caractère personnel : y a-t-il
des grands principes ? des obligations ?
Le RGPD repose sur les principes fondamentaux suivants : la légalité, la finalité, la légitimité et la proportionnalité des traitements de données à caractère personnel. Ces principes s’appliquent aux données collectées, aux traitements, à la sécurité, aux flux transfrontières et aux droits des personnes.
Toutes les données à caractère personnel sont concernées.
Les droits des personnes et la responsabilisation des entreprises sont renforcés :
- Les entreprises doivent documenter tout leur process de mise en conformité au RGPD, à travers plusieurs types de documents, dont notamment le registre des activités de traitement, les chartes de bonne conduite etc. dans une logique d’autocontrôle et de documentation. Les contrôles se feront désormais a posteriori et la CNIL se basera sur ces documents.
De nouveaux impératifs
- Les notions de « privacy by design » et de « privacy by default » devront être respectées pour la mise en place de chaque traitement ainsi que les notions de minimisation des données et l’obligation de réaliser des analyses d’impact pour les traitements « à risque ».
Dans certains cas, les entreprises devront obligatoirement nommer un Data Protection Officer « DPO ». Vue comme un véritable chef d’orchestre de la mise en conformité, le DPO s’assure que le responsable de traitement respecte la réglementation sur les données à caractère personnel. Le DPO informe et accompagne le responsable de traitement sur ses obligations et dans la mise en conformité.
Le montant des amendes en cas de violation des obligations les plus importantes du RGPD pourront aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Le montant de la sanction devra être adapté au regard du respect par l’entreprise des règles d’accountability, de sa bonne foi ainsi que de sa collaboration avec l‘autorité de contrôle.
- Quelles sont les entreprises concernées ? Le secteur et l’activité de l’entreprise sont-ils des caractères différenciants à l’application du RGPD : Y a-t-il un impact différent selon que l’on ait une exploitation BTOB ou BTOC de la Data ?
Le RGPD s’applique à chaque organisme (TPE, PME, collectivité, associations etc.) qui collecte des données à caractère personnel.
Le RGPD a un impact sur le droit des personnes qui est renforcé : droit d’accès, modifications, effacement, droit à la portabilité. Les personnes doivent être informées sur les données qui sont collectées, à quelle fin, qui y a accès et combien de temps les données sont conservées. Il y a de nouvelles obligations pour toutes les entreprises qui effectuent un traitement de données.
Potentiellement, toutes les entreprises, quel que soit leur secteur d’activité, sont concernées, car la définition du traitement de données à caractère personnel est assez large, cela peut impliquer le stockage, le transfert, la modification de toute donnée à caractère personnel …
- Selon vous cette réglementation offre-t-elle des opportunités business pour les entreprises ou bien est-ce une contrainte ?
Le RGPD est l’occasion pour les entreprises, lors de la cartographie de leurs traitements, de mettre à jour les données, de modifier les pratiques, de mettre en place des process, de renforcer la sécurité et la qualité de leurs systèmes d’information.
- Pouvez-vous partager avec nous votre retour d’expérience ?
1. En quoi ALTARES est impactée ?
Comme toute entreprise ayant une activité commerciale sur le marché européen, ALTARES est impactée par la RGPD puisqu’elle effectue des traitements de données à caractère personnel : celles de ses salariés, de ses clients, de ses fournisseurs, de ses partenaires, de ses bases de données …
Partie intégrant de l’ADN d’Altares, la « data » représente pour nous une des principales matières premières de la croissance des entreprises.
ALTARES était, préalablement à l’entrée en vigueur du RGPD, impactée par la loi informatique et libertés, elle a dû faire évoluer certains de ses process mais, la plupart des aspects du RGPD étaient déjà couverts par ALTARES.
2. Comment ALTARES s’organise ? Qu’est-ce qui a changé ?
La première action a été de faire un audit en interne de ses besoins et de ce que le RGPD changeait pour l’entreprise. ALTARES a commencé par mettre à jour les traitements des données à caractère personnel effectués au sein des différents services de l’entreprise, leurs délais de conservation, leurs conditions de protection afin d’y apporter les corrections nécessaires au regard du RGPD.
ALTARES travaille sur la rédaction d’une bibliothèque de documents types liés au RGPD et ALTARES a également nommé un Data Protection Officer.
- Du fait du savoir-faire d’Altares en matière de collecte, de structuration et d’exploitation des data, Altares accompagne la transformation, la mise en conformité et la performance des entreprises clientes … en quoi Altares intervient sur le sujet RGPD pour ses clients.
ALTARES n’a pas vocation à conseiller ses clients quant à leur mise en conformité au regard des obligations imposées par le RGPD ; en revanche, ALTARES a le devoir, du fait de sa mission consistant à proposer son expertise sur toute la chaine de valeur de la « data » afin de valoriser le patrimoine de données de ses clients et d’en faire un moteur de performance, d’inscrire leurs activités dans le respect des obligations relatives à la protection des données à caractère personnel qui leur incombent et de mettre en œuvre les moyens nécessaires à cet effet.
