se-conformer-au-rgpd
Articles

RGPD : que faire pour s’y conformer ?

- Publié le 19/05/2022

Introduction : présentation RGPD

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur depuis le 25 mai 2018 dans les 28 pays de l’Union Européenne. Le RGPD a un impact sur les citoyens, les organisations commerciales ou encore les structures à but non lucratifs comme les associations. Ce règlement remplace tous les précédents textes nationaux (dont la loi informatique et libertés) et repose sur les principes de loyauté, de licéité et de transparence des traitements.

Qui est concerné ?

Sont concernées par le RGPD :

– Toutes les entreprises qui procèdent à des traitements de données à caractère personnel sur le territoire Européen
– Les entreprises qui se trouvent hors de l’Union Européenne et qui traitent de données personnelles au profit des structures européennes ou qui traitent des données de citoyens européens.

Quelles sont les étapes à suivre pour se conformer aux exigences du RGPD ?


Pour se conformer aux exigences du RGPD, la CNIL a mis en avant 6 étapes afin de s’y préparer au mieux :

Etape 1 : Désigner une personne qui s’occupera du pilotage des données personnelles de l’entreprise.
Etape 2 : Cartographier tous les traitements des données personnelles. Cette cartographie permettra de recenser toutes les données personnelles que l’entreprise traite.
Etape 3 : Prioriser les différentes actions à mener en fonction des différents risques.
Etape 4 : Identifier et gérer les risques susceptibles d’être engendrés suite aux traitements des données personnelles.
Etape 5 : Organiser les processus internes qui garantissent la prise en compte de la protection des données à tout moment.
Etape 6 : Constituer et regrouper les documents qui certifient la conformité aux règlements.

Combien de temps faut-il conserver les données personnelles ?

Concernant la conservation des données personnelles dans le cadre du nouveau règlement, deux chiffres sont à retenir :

– Tout d’abord, le chiffre 3. En effet, toutes les entreprises devront supprimer de leur base les données personnelles des personnes inactives depuis trois ans.
– Ensuite, le chiffre 13 puisque tous les 13 mois, il sera nécessaire de redemander le consentement des visiteurs sur le site Web pour le traitement des cookies.

Néanmoins, les internautes peuvent demander aux entreprises de modifier ou d’effacer les données personnelles de leur base. Les entreprises devront répondre aux internautes dans un délai d’un mois. Les contacts supprimés devront être conservés dans une base. Cette base aura pour objectif de ne plus solliciter les contacts supprimés et de pouvoir justifier des traitements en cas de contrôle.

Le Règlement Général sur la Protection des Données impose également la tenue d’un registre des traitements. Ce dernier sera composé d’un document qui intégrera les informations tel que :

  • Les catégories des données personnelles traitées
  • Les traitements des données personnelles réalisés
  • Les finalités et les objectifs
  • Les acteurs (internes et externes) participant au traitement des données
  • Les origines et les destinations des flux de données si les données sont amenées à quitter l’Union Européenne.

Pour conclure, le Règlement Général sur la Protection des Données renforce les obligations légales des entreprises. Elles doivent réaliser différentes actions afin d’être en conformité avec le RGPD. Néanmoins, ce règlement est également une véritable opportunité. En effet, il permettra de limiter lors d’un vol la perte de données à caractère personnel.

Source : La CNIL