Au cours d’une matinale de l’Académie des PME, jeudi 15 mars Cécile Barrio, dirigeante de IP Stream, a présenté ses premières recommandations pour être en conformité avec la Règlement Général de la Protection des Données (RGPD), réglementation européenne qui entrera en vigueur le 25 mai prochain.

La RGPD concerne les données à caractère personnel, autrement dit l’ensemble des données collectées sur une personne physique qui peuvent permettre de l’identifier : nom, prénom, date de naissance, adresse, adresse e-mail, numéro de téléphone…

La nouvelle réglementation européenne vise à protéger les données personnelles des personnes physiques, identifiées dans le texte comme les personnes concernées, et renforcer leurs droits : portabilité, suppression de données et dispositions propres aux mineures. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes et des entreprises sera renforcée. Ils devront assurer une protection maximales des données et être en mesure de le démontrer, en documentant leur conformité dans un registre de traitements, sous peine de lourdes amendes.

Pour vous mettre en conformité :

1 / Nommez un délégué à la protection des données qui sera en charge de piloter la mise en conformité ainsi qu’une commission Ad Hoc regroupant l’ensemble de vos directions si vous êtes une entreprise de taille moyenne.
2 / Cartographiez votre traitement des données (l’ensemble de cette cartographie doit figurer dans un registre des traitements) :

• Technique de collecte de données et fondement juridique : consentement de la personne, intérêt légitime, contrat, obligation légale
• Catégories de données personnelles traitées (données personnelles, données sensibles, données hautement personnelles).
• Objectifs des opérations de traitements.
• Les acteurs, internes ou externes, qui traitent les données (identification les prestataires et sous-traitants)
• Lieu de traitements de données.
• Pays dans lesquels elles peuvent être transférées.
• Temps de conservations.
• Mesures de protection mises en place pour éviter les accès non autorisés.

3 / Purgez vos bases de données et ne gardez que les données strictement nécessaires et recueillies avec le consentement de la personne concernée.
4 / Révisez les contrats avec vos sous-traitants afin d’actualiser les clauses de confidentialité.