Appliqué depuis le 25 mai, le RGPD (Le règlement général sur la protection des données) donne une obligation aux entreprises de se préoccuper des données de leurs clients, des utilisateurs ainsi que des salariés. Si les médias ne cessent d’en parler depuis plusieurs mois afin d’informer les citoyens ainsi que les entreprises, bon nombre d’entre elles ne sont toujours pas prêtes même après l’entrée en vigueur du règlement. Alors que faire en cas de retard concernant le RGPD.
Ne pas paniquer
Depuis l’annonce de ce règlement, des entreprises se préparent depuis plusieurs mois, mais certaines assommées par la complexité du règlement ont procrastiné sur le sujet. Bien que les sanctions soient conséquentes (4 % du chiffre d’affaires annuel ou 20 millions d’euros d’amende), la CNIL a annoncé qu’elle serait clémente les premiers mois afin que toutes les entreprises puissent finaliser leur processus sur la protection des données. Même si vous êtes en retard, les contrôles et les sanctions ne devraient pas voir le jour avant la fin de l’année. Il s’agit pourtant de s’y mettre rapidement puisque le règlement nécessite de nombreux changements. Pour être rapidement aux normes, l’essentiel consiste à prioriser le consentement de vos clients, utilisateurs et salariés, en somme toutes les personnes dont vous possédez des données personnelles.
Se renseigner auprès de la CNIL
Un tel règlement à l’échelle européenne qui concerne aussi bien les organisations publiques que privées peut s’avérer relativement compliqué à mettre en place. Si les grandes entreprises peuvent embaucher ou nommer un DPO (Digital Protection Officer), les petites structures se sentent particulièrement dépassées par l’entrée en vigueur du RGPD. Pour connaître les éléments à prioriser, il s’avère nécessaire de se renseigner sur toutes les modalités à prendre en compte au sein de votre entreprise. Pour être suffisamment au point sur le sujet, mieux vaut directement contacter la CNIL qui pourra vous aiguiller sur les procédures et les mises en place en fonction de votre activité et du traitement des données que vous récoltez.
Commencer par un mailing
Ces dernières semaines, les mails concernant la modification des conditions d’utilisation et pour la demande d’un consentement se sont multipliés dans les boîtes mails. Pour beaucoup d’entreprises, le RGPD repose seulement sur ce mailing qui consiste à s’assurer du consentement de l’utilisateur concernant le traitement de ses données. En réalité, le RGPD s’avère plus complexe et demande une plus grande vigilance. Le mailing reste pourtant une des premières étapes à réaliser lorsque vous avez un peu de retard. Pour vous, il s’agit d’envoyer une demande de consentement à toutes les personnes dont vous possédez des données ainsi qu’à les informer succinctement et clairement sur vos nouvelles conditions d’utilisation.
Désigner quelqu’un dans son entreprise
Bon nombre d’entreprises se sont munies d’un DPO (Digital Protection Officer). Pour les petites structures, il s’avère difficile d’envisager un poste dédié à la protection des données pour des raisons de budget, ou même de taille. Il se peut que vous n’ayez pas la possibilité d’embaucher un spécialiste, mais vous pouvez alors nommer une personne dans votre entreprise. Elle s’occupera de traiter les demandes d’utilisateurs en cas de retrait du consentement, de violation de données ou simplement du traitement et des classifications des informations pour être aux normes avec le RGPD. En fonction de la quantité de données, cette personne aura plus ou moins de responsabilité. En cas de problème, comme une fuite potentielle à cause d’une cyberattaque ou la perte d’une clé USB, elle devra gérer la situation et informer les personnes concernées d’une possible violation des données.
Prévoir que les demandes d’utilisateurs puissent être traitées et réceptionnées
Si le consentement au sein de ce règlement paraît essentiel, le traitement qui s’ensuit l’est aussi. Le RGPD repose sur une classification de tous les changements, demandes d’utilisateurs, consentements, nouvelles procédures de sécurité. Tous les éléments ayant un lien avec les données des utilisateurs doivent être répertoriés au sein de documents en cas de contrôle, pour éviter les sanctions. En premier lieu, il s’avère nécessaire pour toute entreprise de faire le tri et de supprimer les données inutiles à l’exercice de son activité. Il est précisé au sein du règlement, que toute donnée n’ayant aucune utilité pour l’entreprise doit être supprimée.
Avec l’arrivée de ce règlement, les utilisateurs d’applications, de sites, les clients ou même les salariés peuvent demander que leurs informations soient supprimées ou bien à ce qu’ils puissent les récupérer. Toutes les demandes devront donc être traitées par les entreprises et pour être conforme à ce processus, il s’avère nécessaire de mettre en place un formulaire, ou une plateforme dédiée.
Prévenez toutes vos équipes
Que ce soit pour les petites ou les grandes entreprises, le RGPD concerne de nombreux services. Les commerciaux, les communicants, le marketing ainsi que les RH font face chaque jour à des données personnelles. Afin d’être vigilants et de ne pas se voir poursuivi, mieux vaut prévenir toute votre entreprise. Il s’agit d’informer tous vos salariés pour qu’ils connaissent les éléments fondamentaux du règlement. Si tout le monde se préoccupe de la réglementation, le moindre problème, demande extérieure concernant le droit à l’oubli ou une possible violation pourra être rapporté, ce qui facilitera le traitement et la gestion de crise.
Se conformer au RGPD n’est pas une mince affaire, particulièrement pour les entreprises possédant des milliers de données personnelles. Il se peut qu’en tant qu’entreprise, ce règlement vous inquiète si vous êtes en retard. Renseignez-vous et privilégiez les premières étapes avant de vous disperser. Bien que la CNIL soit conciliante pour le moment, ne vous laissez pas submerger par la quantité de travail et prenez les devants pour éviter des sanctions qui pourraient déclencher la faillite de votre entreprise.