A partir du 25 mai 2018, toutes les entreprises, qu’elles soient TPE-PME ou ETI, traitant des données à caractère personnel devront être en conformité avec le Règlement Général sur la Protection des Données (RGPD). Ne restant que 3 mois aux entreprises pour en respecter les clauses, le MEDEF Réunion a organisé une conférence, le jeudi 15 février, sur le thème « Etre en conformité avec le RGDP ». Sulliman Omarjee, Of Counsel en Propriété Intellectuelle, Données Personnelles & Droit du Numérique auprès du Cabinet d’avocats FIDAL, a partagé avec les 60 chefs d’entreprises présents, les clés pour mettre en œuvre un plan de conformité.

Le RGPD bouleverse la gestion des données personnelles au sein des entreprises et des administrations : il modifie en profondeur les obligations liées à la collecte, à l’exploitation et surtout à la protection des données personnelles manipulées. Les contraintes engendrées par cette nouvelle réglementation ne doivent pas être sous-estimées dès lors qu’elles imposent une véritable transformation dans la gouvernance des données au sein de l’entreprise : on parle de « datamorphose ». Il ne s’agit pas d’un simple projet à horizon 2018 mais bel et bien d’une démarche constante et sur le long terme à adopter. Les manquements aux diverses obligations peuvent entraîner des amendes considérables dès le 25 mai 2018 : jusqu’à 20 millions d’Euros et 4 % du chiffre d’affaire annuel mondial.

Sulliman Omarjee résume en 5 conseils, les démarches à suivre pour être en conformité avec le RGPD :

  1. Sensibiliser tous les acteurs de l’entreprise afin de susciter une prise de conscience du chantier à mener et identifier des relais.
  2. Recruter un DPO, selon la taille de votre entreprise ou selon le nombre de traitements effectués, justifiant réellement des qualités requises par le RGPD : compétences en informatique et données personnelles, connaissance spécialisées du droit, expérience en pilotage de projet ; le DPO devra travailler en complémentarité avec le RSSIO (Responsable de la Sécurité Informatique) lorsqu’il existe.
  3. Cartographier l’intégralité des traitements mis en œuvre par l’entreprise et constituer le registre des traitements avec la documentation correspondante.
  4. Appliquer le RGPD en mettant à jour les mentions d’information, les contrats avec les prestataires, les durées de conservation des données ; en intégrant la protection des données personnelles dès la conception des traitements ou fichiers de données personnelles ; enfin en réalisant des analyses d’impact lorsque cela est nécessaire.
  5. Procéder à des audits réguliers sans oublier des tests d’intrusions informatiques afin de garantir une sécurité maximum aux données personnelles.

Malgré ses contraintes apparentes, le RGPD peut être source d’opportunités pour chaque acteur : sa mise en œuvre peut constituer un levier de performance et de compétitivité et être un gage de confiance auprès des personnes confiant leurs données.

Le RGPD reste une démarche complexe qui peut nécessiter dans certains cas l’accompagnement d’un avocat justifiant d’une réelle expertise spécialisée en droit de l’informatique et des données personnelles, dès lors que la mise en conformité implique du conseil juridique pointu : on ne s’improvise pas DPO ou spécialiste du droit des données du jour au lendemain.

Le MEDEF Réunion invite tous les chefs d’entreprise à procéder à un diagnostic RGPD en ligne sur http://rgpd.medef.com autour de 5 axes : les relations clients, les relations avec les salariés, les relations avec les partenaires de l’entreprise, la sécurité des traitements des données, le dispositif interne de conformité. Cet outil de sensibilisation et d’information, les aidera à évaluer leurs connaissances et à se situer dans la préparation de la mise en œuvre du RGPD.

MED-9 MED-19