RGPD : quelles obligations pour les entreprises ?

Les Echos

Rappelons que le Règlement Général de la Protection des Données (RGPD) est un acte juridique du Parlement Européen et du Conseil (règlement (UE) 2016/679) qui a été adopté en avril 2016 et entrera en vigueur le 25 mai 2018.
Le RGPD vise principalement à fournir des règles claires et unifiées sur la protection renforcée des données propres à l’ère du numérique, de donner aux individus un contrôle plus important de leurs renseignements personnels traitées par des entreprises, et à faciliter l’application de la loi.
En plus d’harmoniser la Loi de protection des données dans toute l’UE, le RGPD affectera également les compagnies non européennes qui offrent des produits ou services, ou surveillent le comportement des résidents de l’Union européenne, et donc traitent leurs données personnelles.

En plus de la compétence élargie du RGPD, les autres principes importants exprimés dans le RGPD sont les suivants :

  • Étendue des droits des personnes concernées — Ceci comprend, entre autres, le droit d’accès, le droit à la portabilité des données et le droit à l’effacement des données.
  • Notification de violation de données sous 72 heures — Dans le cas d’une violation de données personnelles, l’organisme concerné doit aviser l’autorité de surveillance au plus tard 72 heures après l’avoir constatée.
  • La vie privée dès la conception — Les organismes doivent s’assurer que, tant dans la phase de planification des activités de transformation que dans la phase de mise en œuvre d’un nouveau produit ou service, les principes RGPD de protection des données et les sécurités appropriées sont abordés et mis en œuvre.
    Responsabilité — Un organisme doit assurer et démontrer la conformité avec les principes RGPD de protection de données.

Quels sont les risques en cas de non-respect ?

Les amendes pour non-respect du RGPD dépendent de l’infraction. Dans le cas d’une violation de données à caractère personnel (définie comme une violation de sécurité menant à la destruction, la perte, l’altération, la divulgation ou les accès non autorisés, accidentels ou illicites, aux données à caractère personnel transmises, stockées ou traitées de toute autre manière), l’amende peut se monter jusqu’à 4 % du chiffre d’affaires mondial annuel de la société ou € 20 millions, selon ce qui est le plus élevé. Pour les autres violations des dispositions du RGPD, l’amende est jusqu’à 2 % du chiffre d’affaires mondial annuel ou € 10 millions, selon ce qui est plus élevé.

Comment s’organiser ?

Dans le contexte de ces futures contraintes réglementaires, les entreprises ont pour obligation de mettre en place des processus de contrôle et différents rapports.
Ces derniers concernent notamment :

  • Les contrôles d’accès
  • La gestion des comptes
  • La gestion des identifiants
  • La gestion des privilèges des utilisateurs
  • La surveillance de l’intégrité
  • La gestion de la configuration
  • La gouvernance des données
  • La traçabilité des audits

Face aux multiples dispositions du RGPD, la mise en conformité peut représenter un défi particulièrement complexe.
D’autant plus que les efforts et les procédures requis pour satisfaire aux exigences du RGPD peuvent varier selon la configuration des systèmes, des procédures internes, de la nature de l’entreprise ainsi que d’autres facteurs.