Paperjam.lu

Bertrand Moupfouma est associé chez Themis Lex. 

Dans sept mois, la «tempête» annoncée du General Data Protection Regulation (GDPR), ou réglementation générale sur la protection des données, sera ressentie par tous les acteurs de l’Union européenne collectant des données personnelles et par les entités hors UE qui collecteraient les données des citoyens situés dans l’UE. Pour mémoire, le GDPR prévoit deux types de sanctions pour les entreprises en cas de non-respect:
  • des amendes administratives pour un montant allant de 10 à 20.000.000 €; 
  • ou bien 2 à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu).
Eu égard à ces lourdes sanctions, il est nécessaire de l’anticiper et de se mettre à niveau. C’est pourquoi un audit interne s’impose aux fins de déterminer à quel titre l’entreprise traite les données (sous-traitant ou responsable de traitement) afin de savoir:
  • s’il y aura obligation de nommer un délégué de la protection des données; 
  • les catégories de données traitées, car les obligations du GDPR varient selon que celles-ci sont considérées comme sensibles (santé, politiques, religieuses) ou non; 
  • les objectifs poursuivis par les différentes opérations de traitement afin de savoir si celui-ci nécessite ou non le consentement de la personne concernée; 
  • la licéité des traitements;
  • la localisation des données traitées, leur mode de stockage, leur mode de sécurisation de transfert et d’effacement;
  • si une étude d’impact est nécessaire.

Cet audit sera utilement complété par la mise en place des mesures suivantes:

  • la nomination éventuelle d’un délégué de la protection des données par le responsable du traitement ou d’un responsable en charge de la conformité de l’entreprise avec le GDPR; 
  • l’information immédiate des personnes, dont les données sont collectées, sur leurs droits (d’accès, de rectification, de limitation, droit à l’oubli, d’opposition à la prospection et au profilage, etc.) au sein des contrats tels que les CGV ou CGU;
  • vérifier en tant que responsable de traitement si des sous-traitants interviennent dans le traitement et la gestion des données et dans l’affirmative, s’assurer que leurs services soient conformes au GDPR; 
  • vérifier les contrats de service pour déterminer où les données sont stockées et si elles sont traitées en dehors de l’UE;
  • la mise en place d’un «registre des activités de traitement» pour les entreprises de plus de 250 employés;
  • l’adoption des mesures techniques de chiffrement et de pseudonymisation des données traitées et d’une procédure de gestion des risques pour détecter, signaler et investiguer en cas de violation des données;  
  • la mise en place d’une charte interne incitant les employés à de bonnes pratiques concernant le traitement des données personnelles.
  • Le compte à rebours a commencé, il est imprudent de ne pas anticiper.