Dans le MadinMag de ce mois, je démystifie quelques grandes lignes du Règlement général de la protection des données (RGPD).

Résolument pragmatique, je vous livre un VRAI/FAUX permettant de répondre aux premières interrogations des entreprises sur le sujet tant redouté du RGPD.  De quoi vous permettre d’entamer de premiers échanges avec notre équipe, pour initier votre démarche de mise en conformité.  
 
 

Up2Work : vous avez dit RGPD ?

Le point avec Laurence Biron, certifiée Data Protection Officer et Directrice du cabinet Up2Work, experte en management de projets innovants. 

Par Marie Ozier-Lafontaine

Le Règlement Général de la Protection des Données, en vigueur depuis le 25 mai 2018, est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces éléments sur lesquels les entreprises s’appuient pour proposer des services et des produits.

Une donnée à caractère personnel, c’est uniquement le nom, le prénom et le mail.

FAUX

Une donnée à caractère personnel, c’est tout élément permettant d’identifier une personne : sa date de naissance, son numéro de sécurité sociale, sa photo, mais aussi ses nom, prénom, adresse mail ou numéro de téléphone… Tous les fichiers clients contiennent donc des données à 
caractère personnel !

Le RGPD concerne toutes les entreprises, même les TPE.

VRAI

Toute organisation utilisant des données à caractère personnel est concernée, quels que soient sa taille, son secteur d’activité et le nombre de données dont elle dispose. Les administrations et les collectivités entrent donc dans le cadre du RGPD : un fichier électoral, par exemple, contient des informations à caractère personnel ! A noter : une entreprise disposant d’un fichier clients sous format papier doit aussi respecter le règlement.

Pour être conforme, il suffit d’informer ses publics que l’on dispose de leurs informations personnelles.

FAUX

Il ne s’agit pas d’informer mais de prouver que l’on a bien recueilli auprès des publics leur consentement sur le recueil, l’utilisation et la portabilité de leurs données (notamment à des sous-traitants). Ils doivent aussi être informés de leurs droits d’opposition et de rectification sur ces données. Le cas de WhatsApp est symptomatique de la méconnaissance du sujet : de nombreuses entreprises envoient des informations à des personnes dont elles n’ont jamais sollicité le consentement !

Les entreprises n’ont pas l’obligation de nommer en interne un Data Protection Officer.

VRAI

Mais quand l’entreprise traite quotidiennement une grande quantité de données, recourir à un DPO, même externalisé, est vivement recommandé. Dans tous les cas de figure, quel que soit le volume de données, il est important de confier la mission de mise en conformité à un expert. Celui-ci réalisera un audit, établira une feuille de route et pilotera le volet opérationnel. C’est ce que nous proposons chez Up2Work via une offre spécifique « RGPD Antilles Guyane ». Nous 
accompagnons les entreprises pas à pas dans leur démarche de mise en conformité.

Up2Work : vous avez dit RGPD ?