Depuis mai 2018, les entreprises ont dû mettre de l’ordre dans leurs données pour pouvoir respecter le RGPD, sous peine de subir de lourdes sanctions de la part des autorités. «Il y en a eu pour de grandes structures internationales comme Google. Mais au Luxembourg, à ma connaissance, aucune n’a été sanctionnée à ce jour», confie Mélanie Gagnon, CEO et fondatrice de MGSI, spécialisée dans la mise en conformité RGPD. Toutefois, la Commission nationale pour la protection des données (CNPD) a commencé à faire des audits.
C’est dans certaines TPE et PME que l’experte a constaté du retard dans la mise en conformité. «Certains voient ça comme une montagne et ne savent pas comment s’en sortir. En tant qu’experts, nous voulons démystifier le RGPD. Il n’est pas nécessaire d’investir des sommes colossales pour se mettre en conformité», estime Mélanie Gagnon, qui résume ainsi en sept points les grands principes du RGPD.
7 grands principes
Premièrement, les sociétés doivent traiter les données de manière licite, loyale et transparente. Cela signifie aussi qu’elles sont tenues d’informer les personnes concernées d’une manière claire, non équivoque, précise et aisément accessible du traitement de leurs données.
Deuxièmement, les finalités du traitement des données doivent être déterminées, explicites et légitimes, et ces dernières ne doivent pas être traitées ultérieurement d’une manière incompatible avec ces finalités. Troisièmement, seules les données nécessaires et proportionnelles à la finalité poursuivie doivent être collectées.
Quatrièmement, le principe de l’exactitude oblige les entreprises à tenir à jour les données traitées.Le cinquième principe impose aux entreprises de ne conserver les données sous une forme permettant l’identification des personnes concernées que pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées.
Le sixième point demande de mettre en place toutes les mesures de sécurité organisationnelles et techniques appropriées afin d’assurer la protection des données traitées contre, par exemple, la destruction, l’altération, ou encore une diffusion non autorisée. Septième et dernier principe, les entreprises doivent être en mesure de démontrer à tout moment leur conformité.
Témoignages
Julien Winkin, CEO de LuxGap:
«Sur le terrain, nous constatons que les sociétés s’interrogent beaucoup sur la rétention: Comment conserver les informations? Quand dois-je les supprimer? Ainsi que sur les mesures de sécurité à prendre: Jusqu’où aller? Se mettre en conformité n’est pas complexe, mais il faut bien s’outiller et bien s’organiser afin de ne pas perdre d’argent. De plus, les changements qui seront apportés sont bénéfiques pour les entreprises. Si un data protection officer externe ou interne est requis, il sera porteur du projet. Assurez-vous donc de nommer une personne qui a de l’expérience en gestion de projets complexes en plus des qualifications requises: techniques et légales.»
Jean-Guy Roche, CEO de Rcarré:
«Le RGPD est une évolution logique qui normalise et garantit la sécurité de l’information aux clients. Pour notre part, nous traitons des données de nature sensible, leur sécurisation grâce à l’informatique est une de nos priorités depuis toujours. Pour renforcer la sécurité de l’information, des standards internationaux comme ISO 27000, que nous appliquons pour nos services cloud, notamment, viennent renforcer cet aspect du RGPD.
La mise en conformité ne doit pas être perçue comme une contrainte, mais comme un processus d’amélioration continue, qui nécessite une bonne vue sur les priorités et un suivi systématique qui va aider à implémenter l’approche RGPD choisie. Pour comprendre et appliquer l’essentiel de la réglementation, les entreprises doivent assimiler que toute détention d’informations personnelles doit être motivée et faire l’objet d’un consentement.»