Contexte
Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD en français, et GDPR en anglais) entrera en application. Validé en avril 2016, il renforce la protection des citoyens et accentue par conséquent les obligations de toutes les entreprises (y compris les sites e-commerce). Quelles que soient leur taille et leur activité, elles doivent dès à présent s’organiser pour être conformité.
Si l’entreprise est victime d’un piratage informatique de son réseau, entraînant une fuite de données à caractère personnel, elle devra en avertir la Commission nationale de l’informatique et des libertés (la CNIL) sous 72 heures. Passé ce délai ou si elle n’avertit pas cet organisme, la PME devra s’acquitter d’une amende qui peut atteindre jusqu’à 4% du chiffre d’affaires mondial annuel total de l’exercice précédent. Cependant, cette sanction ne concerne pas les TPE-PME. Les juges tiendront compte en effet des moyens et des compétences des entreprises.
Les objectifs
L’objectif premier de cette mesure sera de protéger les citoyens en renforçant leurs droits, notamment en leur permettant de pouvoir contrôler leurs données personnelles. Jusqu’à présent, l’obligation de notifier les violations de données personnelles ne concernait que les fournisseurs de services de communications électroniques. Dorénavant, les entreprises doivent obtenir un consentement explicite de la part de l’utilisateur final quant à l’utilisation ou l’enregistrement de ses données privées. Elles doivent permettre la portabilité des données personnelles aux utilisateurs qui en feraient la demande. Enfin, ceux-ci bénéficient d’un droit à la suppression de leurs données personnelles par l’entreprise qui les traite.
Le second objectif sera de renforcer les devoirs et responsabilités de toute la chaîne d’acteurs, du responsable de traitement aux partenaires commerciaux en passant par les sous-traitants fournisseurs de services. Le but étant de responsabiliser chaque acteur en l’obligeant à s’engager dans une démarche globale vertueuse visant à la protection de la vie privée.
Le troisième objectif aura quant à lui le but de simplifier le cadre réglementaire pour les entreprises internationales en unifiant les règlements dans l’ensemble de l’Union Européenne.
La sensibilisation des salariés
Seule une politique générale de protection de la vie privée, impliquant des mesures organisationnelles, juridiques et techniques spécifiques, permet d’être en conformité avec ce règlement. Les mesures techniques peuvent prendre plusieurs formes et en particulier :
- la pseudonymisation : pour éviter toute exploitation très ciblée;
- le chiffrement (ou cryptage) : pour réduire les risques d’exploitation de ses bases de données en cas de piratage du réseau informatique ou de vol d’un ordinateur portable;
- des sauvegardes : pour garantir l’intégrité, la disponibilité et la résilience.
Autant d’objectifs plus complexes qu’ils n’y paraissent. Afin de relever ces défis, les TPE-PME devront s’entourer de partenaires extérieurs afin de les conseiller et les accompagner dans la durée.
A noter que l’éditeur Sage prévoit une évolution sur cette réglementation concernant Sage Paie & RH, dans la version 10, à sortir en avril-mai 2018.
N’hésitez pas à revenir vers nous pour de plus amples informations au 02 51 13 73 73.