Règlement Général sur la Protection des Données (RGPD ou GDPR) : quels changements ? Partie 2

4/ QUELS IMPACTS POUR LES ENTREPRISES

Le RGPD impacte le cycle de vie de la donnée de bout en bout. Ce qui implique de renforcer la gouvernance et de maîtriser les processus métiers et l’architecture qui la supporte.

Il conviendra donc de mettre en place une approche globale de transformation que décrit notre collaborateur Nantais Olivier Chotin dans un article publié sur LaTribune (http://www.latribune.fr/opinions/tribunes/loi-sur-la-protection-des-donnees-personnelles-contrainte-ou-opportunite-748357.html, 29-08-2017).

Une approche qui s’articule autour de 8 axes :

  • Stratégie Data
  • Gouvernance des données
  • Organisation et RH
  • Processus métiers
  • Déploiement du RGPD
  • Gestion des données
  • Implémentation technique
  • Juridique

Comment y voir plus clair sur les impacts ?

L’article 35 du RGPD prévoit que lorsqu’un traitement est susceptible d’exposer des personnes à un risque élevé au regard de leurs droits et libertés, le responsable de traitement doit effectuer préalablement une analyse d’impact sur la vie privée (EIVP). Le G29 ou Groupe de travail Article 29 sur la protection des données – organe consultatif européen indépendant sur la protection des données et de la vie privée – a mis en place un processus pour analyser les risques et impacts (https://www.trustandprivacy.eu/lignes-directrices-g29-analyse-impact).

5/ QUELS IMPACTS POUR LES ESN

Au niveau Communication, il conviendra de revoir le site web pour prendre en compte les obligations de protection des données. Quelques exemples de fonctionnalités à mettre en œuvre :

  • Stockage de la provenance du contact
  • Être capable d’exporter à la demande les données
  • Revoir les mentions légales
  • Formulaire avec case à cocher
  • Mettre à jour les bases de données avec les données du site
  • Système de suppression automatisé des données inactives
  • Revoir les Cookies plus explicite

Au niveau RH, il faudra être capable de tracer la provenance des données recueillis sur les candidats après avoir reçu leur consentement explicite pour les différents traitements (utilisation et réutilisation de la donnée). En termes de stockage il faudra privilégier les systèmes d’encryption et de pseudonymisation pour assurer une protection totale des données personnelles. Autre point autour de l’automatisation de certains processus de recrutement, le RGPD impose de tenir informer le candidat sur la nature et les règles du dit traitement.

Il conviendra donc de vérifier si l’outillage RH permet de respecter le règlement.

Au niveau des Achats, il faudra revoir les contrats de prestations, de sous-traitance pour intégrer de nouvelles clauses tenant compte du RGPD, notamment en termes de partage des responsabilités, d’obligation de notifier tous cas de violation du respect de la vie privée.

Au niveau du système d’information, il faudra également s’assurer que tous les outils soient en conformité avec le RGPD en termes de stockage et traitements des données des salariés et des clients.

Au niveau Organisation, le RGPD impose un nouveau rôle le « Délégué à la Protection des Données » (DPD ou DPO) pour les autorités publiques et les entreprises dont l’activité principale repose sur du traitement de données (à grande échelle ou à risque élevé). Pour les autres entreprises, il recommande fortement la mise en place de ce rôle. Il aura pour mission d’assurer un contrôle régulier de la bonne application du RGPD. Concrètement, il lui appartient de s’informer sur les nouvelles obligations, d’assister les décideurs sur les conséquences des traitements, d’en réaliser l’inventaire, de concevoir des actions de sensibilisation, de piloter en continu la conformité et d’assurer la coopération avec l’autorité de contrôle (CNIL).

Ressources :

https://www.cnil.fr/
http://www.latribune.fr/opinions/tribunes/loi-sur-la-protection-des-donnees-personnelles-contrainte-ou-opportunite-748357.html
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/dataviz
https://www.trustandprivacy.eu/lignes-directrices-g29-analyse-impact
http://www.solutions-numeriques.com/juridique-rgpd-les-precisons-apportees-par-le-g-29-sur-les-analyses-dimpact/#_ftn5
http://www.decideo.fr/RGPD-GDPR-5-etapes-pour-respecter-le-nouveau-reglement-relatif-a-la-protection-des-donnees_a9671.html
http://www.zdnet.fr/dossier/rgpd-tout-comprendre-4000237620.htm
http://www.zdnet.fr/actualites/que-va-changer-le-rgpd-39850740.htm
http://www.emailstrategie.com/2017/10/26/blog/rgpd-email-marketing-quels-changements/

1 réponse
  1. Travail du bois dit :

    La révision de la fameuse article concernant la protection des données personnelles a ses avantages comme ses inconvénients. Et je pense, incombe un bon nombre de responsabilité et d’obligations pour les deux parties.

    Répondre

votre commentaire

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Inscription newsletter

Ne manquez plus nos derniers articles !