Dans le MadinMag de ce mois, je démystifie quelques grandes lignes du Règlement général de la protection des données (RGPD).
Le point avec Laurence Biron, certifiée Data Protection Officer et Directrice du cabinet Up2Work, experte en management de projets innovants.
Par Marie Ozier-Lafontaine
Le Règlement Général de la Protection des Données, en vigueur depuis le 25 mai 2018, est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces éléments sur lesquels les entreprises s’appuient pour proposer des services et des produits.
Une donnée à caractère personnel, c’est uniquement le nom, le prénom et le mail.
FAUX
Une donnée à caractère personnel, c’est tout élément permettant d’identifier une personne : sa date de naissance, son numéro de sécurité sociale, sa photo, mais aussi ses nom, prénom, adresse mail ou numéro de téléphone… Tous les fichiers clients contiennent donc des données à
caractère personnel !
Le RGPD concerne toutes les entreprises, même les TPE.
VRAI
Toute organisation utilisant des données à caractère personnel est concernée, quels que soient sa taille, son secteur d’activité et le nombre de données dont elle dispose. Les administrations et les collectivités entrent donc dans le cadre du RGPD : un fichier électoral, par exemple, contient des informations à caractère personnel ! A noter : une entreprise disposant d’un fichier clients sous format papier doit aussi respecter le règlement.
Pour être conforme, il suffit d’informer ses publics que l’on dispose de leurs informations personnelles.
FAUX
Il ne s’agit pas d’informer mais de prouver que l’on a bien recueilli auprès des publics leur consentement sur le recueil, l’utilisation et la portabilité de leurs données (notamment à des sous-traitants). Ils doivent aussi être informés de leurs droits d’opposition et de rectification sur ces données. Le cas de WhatsApp est symptomatique de la méconnaissance du sujet : de nombreuses entreprises envoient des informations à des personnes dont elles n’ont jamais sollicité le consentement !
Les entreprises n’ont pas l’obligation de nommer en interne un Data Protection Officer.
VRAI
Mais quand l’entreprise traite quotidiennement une grande quantité de données, recourir à un DPO, même externalisé, est vivement recommandé. Dans tous les cas de figure, quel que soit le volume de données, il est important de confier la mission de mise en conformité à un expert. Celui-ci réalisera un audit, établira une feuille de route et pilotera le volet opérationnel. C’est ce que nous proposons chez Up2Work via une offre spécifique « RGPD Antilles Guyane ». Nous
accompagnons les entreprises pas à pas dans leur démarche de mise en conformité.
[product_page id= »2225″]
[product_page id= »2222″]
[product_page id= »2184″]
