Pour rappel, le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur le 15 mai 2018. Les entreprises européennes qui collectent, traitent et stockent des données personnelles sont toutes concernées par cette nouvelle loi. En clair, elles doivent se conformer au RGPD pour éviter des sanctions financières. En tout cas, cela constitue un défi pour une PME qui ambitionne de développer son activité.
La conformité au RGPD : une obligation ou une option ?
Le RGPD est un texte de loi sur la protection des données à caractère adopté par le parlement européen le 15 mai 2018. Autrement dit, toute entreprise issue d’un pays européen doit respecter cette nouvelle loi. Des millions de comptes de réseau sociaux ont déjà été piratés pendant ces dernières années. Et cet acte de piratage ne cesse de s’accroître actuellement. Afin de garantir la protection des données personnelles et de lutter contre la cybercriminalité, l’Union Européenne a décidé de démocratiser le RGPD l’année dernière.
Il existe bien entendu plusieurs solutions adéquates permettant de protéger les données à caractère personnel collectées par des organisations : la pseudonymisation, le hachage ou l’anonymisation. Dans tous les cas, les entreprises concernées doivent se conformer à la nouvelle réglementation en vigueur. A noter que l’article 9 du RGPD stipule que certaines données personnelles (convictions politiques, religieuses, orientation sexuelle, etc.) ne doivent pas être collectées. En tout cas, cela nécessite le consentement explicite de la personne physique concernée. L’article 10 du RGPD stipule que seule l’autorité publique peut traiter des données à caractère personnel relatives aux crimes et aux sanctions pénales.
Quelles sont les mesures à respecter pour se conformer au RGPD ?
Une entreprise qui a décidé de se conformer au Règlement Général sur la Protection des Données doit mettre en place quelques mesures. Tout d’abord, elle doit faire une cartographie exhaustive des supports (matériels, logiciels) internes et externes utilisés pour le stockage des données à caractère personnel. Ensuite, il faudra créer un registre des activités de traitement de l’ensemble des données sensibles prélevées. Il est également indispensable de réaliser régulièrement des audits pour être en conformité avec le RGPD. L’objectif est bien sûr de détecter les failles de sécurité.
Les organisations concernées par le RGPD doivent obligatoirement désigner un DPO (Data Protection Officer) ou délégué à la protection des données en français. En clair, c’est le responsable du traitement des données à caractère personnel d’une entreprise collectant des données relatives à des condamnations pénales et/ou à des infractions. Pour éviter une sanction lourde financière, une organisation prélevant des données personnelles pour identifier ses clients et ses collaborateurs a tout intérêt à se conformer au RGPD.