RGPD et BTP, un casse-tête ?

Vous avez dit RGPD ?

Icone Document RGPDEntré en application depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) apporte son lot de mesures en faveur des individus pour mieux protéger leurs données personnelles.

Ce texte européen, pionnier en la matière à cette échelle, encadre la collecte et le traitement des donnéees personnelles dans la continuité de la Loi française Informatique et Libertés datant de 1978 !

Qu'est-ce qu'une donnée personnelle ? La CNIL décrit cela comme "toute information se rapportant à une personne physique identifiée ou identifiable". Nous pouvons distinguer deux principaux types d'identifications :

  • Directe : le prénom, le nom, date de naissance, etc.
  • Indirecte : trigramme, numéro d'identifiant, référence interne, etc.

Ainsi, dès lors que vous collectez ou effectuez une opération sur l'une de ces données, il est considéré que vous effectuez du traitement de données. À ce titre, le bon respect des normes est nécessaire et le RGPD vient renforcer ce cadre juridique.

Objectifs de la loi  

Icone LoiLe traitement de données à l'échelle européenne ne faisait jusqu'alors l'objet d'aucune réglementation précise sur le sujet, chaque pays adoptant de son côté ses propres mesures.

Au vu de l'essor d'internet et de l'émergence de nouvelles technologies de collectes d'informations, tel que le Big Data, les instances européennes ont souhaité protéger chaque individu pour lui garantir un droit de contrôle et d'accès à ses données personnelles.

Cette loi renforce les droits de chaque personne et responsabilise tout acteur réalisant du traitement de données.

En somme, chacun d'entre-nous doit bénéficier d'une meilleure connaissance de l'usage fait des données personnelles, tout en renforçant les droits individuels : récupération de nos données, possibilité de recours, droit à l'oubli, etc.

Qui est concerné ?

A fortiori, le principe de traitement des données semble concerner bon nombre de cas de figure. Effectivement, cette loi s'adresse à toute structure privée ou publique effectuant de la collecte et/ou traitement de données, quel que soit le secteur ou la taille de l'entreprise. Que vous soyez un grand groupe ou entrepreneur individuel, vous êtes concernés !

D'un point de vue géographique, toute entreprise implantée en Union Européenne ou dont l'activité cible directement des résidents européens est concernée.

Attention, car le traitement de données personnelles n'est pas nécessairement informatisé, les fichiers papiers sont également concernés !

Le DPO, pilier de la conformité

Icone Pilier Le Délégué à la Protection des données, ou Data Protection Officer (DPO), occupe une fonction centrale dans la mise en conformité de l'organisation. Ce sera ce-dernier qui aura la charge de conseiller et accompagner la société dans sa mise en conformité et son suivi quotidien.

La désignation d'un délégué est obligatoire pour :

  1. Les autorités ou les organismes publics ;
  2. Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
  3. Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

En dehors des cas de désignation obligatoires, la désignation d’un délégué à la protection des données est encouragée par les membres du G29. Elle permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles.

Qu'est-ce que je risque ?

Deux types de sanctions peuvent-être appliquées selon la gravité de la violation : Icone Danger 

  • Amende : peut aller jusqu'à 4 % du chiffre d'affaires annuel mondial ou jusqu'à 20 millions d'euros ;
  • Sanctions pénales : peuvent subvenir quand les violations ne font pas l'objet d'amendes administratives au sens de l'article 83 du RGPD.

Précisons ici que les sanctions sont graduelles et que, en cas de violation, vous disposerez d'avertissements et injonctions préalables aux sanction.

Comment faire ?

Icone ObjectifLe traitement des données doit avoir un objectif, c'est à dire un but à atteindre. Je ne peux collecter de données dans l'optique de penser que celles-ci pourront me servir à l'avenir.

La CNIL préconise 6 réflexes-clés à adopter sans plus attendre :

  1. La pertinence des données : ne collectez que les données vraiment nécessaires !
  2. Optez pour la transparence : soyez clairs et complets sur le but de la collecte
  3. Respect des droits : répondez dans les meilleurs délais aux demandes de consultation, rectification ou suppression des données
  4. Gardez la maîtrise de vos données : le partage et la circulation des données doivent-être encadrées
  5. Gestion des risques : identifiez les risques liés à la gestion de la donnée personnelle 
  6. Sécurisez vos données : utilisez les bons outils et adoptez les bonnes procédures

L'expertise SYDEV-logo-couleurs 

Acteur incontournable du marché depuis plus de 20 ans, SYDEV est en mesure de vous proposer une solution fiable, sécurisée et adaptée au traitement des données.

Notre solution ERP METEOR offre des fonctions précises et fines de gestion des droits d'accès, combinées à de réelles fonctions de droits de modifications et de droit à l'oubli garantissant une maîtrise totale de vos données.

N'attendez plus pour utiliser une solution conforme aux enjeux législatifs tout en utilisant une solution complète de gestion.

Contactez nos équipes au 04.76.33.44.00 ou sur contact@sydev.com

 

N'attendez plus pour vous mettre en conformité !