Friede, certified data protection officer

partager cette histoire via

Friede Coudron a suivi une formation approfondie sur le RGPD et a obtenu le Certificat de DPO (Data Protection Officer) auprès du Data Protection Institute. En tant que DPO, elle donne conseils et formations aux clients. Aux côtés d’une équipe, elle veille actuellement à ce que Titeca Accountancy satisfasse à la législation RGPD d’ici le 25 mai 2018. 

Friede en a pleinement conscience : « Aucun entrepreneur n’attendait cette législation. Adapter son entreprise à la réglementation RGPD nécessite un effort et un investissement supplémentaires de la part de toutes les organisations et entreprises de l’UE. Ce sujet est donc rarement abordé de gaieté de cœur ! »

_84A9301.jpg

Attention ! Il faut s’y mettre

 

Friede n’y va pas par quatre chemins et dissipe sur-le-champ un important malentendu.

« La réglementation RGPD est en fait en vigueur depuis fin avril 2016, ne vous y trompez pas. Les entrepreneurs ont par conséquent déjà eu largement le temps de s’y préparer. Quoique cette réglementation soit déjà contraignante, son existence commence à peine progressivement à être reconnue.

Un manque de temps ? Quand les contrôles du respect de la législation RGPD commenceront l’an prochain à partir du 25 mai 2018, les entrepreneurs n’auront plus d’excuse. »

 

"En substance, le RGPD est une manière d’entreprendre radicalement nouvelle. Nous devons donc tous retourner sur les bancs de l’école."

 

Le RGPD, c’est quoi ?

 

Le RGPD (pour Règlement général sur la protection des données) porte sur la gestion et la protection des données personnelles des citoyens des États membres de l’Union européenne.

 

En tant qu’organisation/entreprise, vous devez pouvoir démontrer, à partir du 25 mai 2018, quelles données personnelles vous collectez, comment vous les utilisez, combien de temps vous les conservez et qui dans votre entreprise a accès à quelles données, mais également comment vous les protégez, par exemple dans votre data center ou dans le cloud ou encore sur un serveur au sein ou en-dehors de l’UE. Si vous êtes incapable de démontrer cela, vous pouvez être sanctionné pour non-respect de cette réglementation.

 

Quelle est au juste la différence par rapport à la réglementation déjà en vigueur actuellement ?

 

Friede répond sans détour : « Les sanctions, de très lourdes sanctions, pouvant aller jusqu’à 4 % de votre chiffre d’affaires annuel ! Selon moi, ce seront pourtant les sanctions administratives qui seront les plus lourdes.

 

La Commission vie privée peut par exemple paralyser pendant 4 semaines une entreprise qui ne satisfait pas à la législation RGPD, jusqu’à ce qu’elle s’y conforme.

Ne vous méprenez pas, toutes les organisations et entreprises dans l’UE relèvent du RGPD dès lors qu’elles collectent des données personnelles de façon systématique, même si elles sont simplement archivées, par exemple.

 

"L’idée selon laquelle le RGPD concerne la vie privée est un malentendu. En substance, le RGPD est un règlement relatif au traitement des données, ce qui a évidemment des répercussions sur la vie privée puisque ces deux éléments sont étroitement liés."

 

"Une donnée personnelle peut en effet être beaucoup de choses. Cela ne concerne pas uniquement des bases de données contenant les données de clients, mais aussi des données de vos fournisseurs dans votre logiciel de comptabilité en ligne, celles de vos collaborateurs dans votre programme d’administration des salaires, etc. Cela va très loin."

 

La législation RGPD : un concept

 

Un autre élément important du RGPD sont les notions de 'responsable du traitement' et de 'sous-traitant'.

 

Le responsable du traitement est le donneur d’ordre alors que le sous-traitant est celui qui effectue la mission pour le donneur d’ordre.

'Bref, si vous collaborez avec quelqu’un qui a accès aux données personnelles de votre entreprise, il est préférable de lui faire signer un contrat de traitement des données.

 

En vertu de la réglementation RGPD, le responsable du traitement et le sous-traitant sont solidairement responsables des infractions au traitement des données personnelles, même si le responsable du traitement est toujours le responsable final. Il est donc important que de bons accords mutuels concernant la responsabilité en cas d’infractions soient définis dans un contrat de traitement des données.'

 

Les 7 commandements du RGPD

 

Les 7 principes du RGPD sont les suivants :

1.      Licéité, loyauté, transparence

2.      Limitation des finalités

3.      Minimisation des données

4.      Exactitude

5.      Limitation de la conservation

6.      Intégrité et confidentialité

7.      Responsabilité

 

'Ce n’est évidemment pas parlant pour les entrepreneurs', dit Friede avec indulgence.

'Autrement dit : vous devez indiquer que vous traitez des données personnelles dans un certain but, qu’elles sont exactes, que vous avez donné à vos clients des informations suffisantes et que vous agissez avec transparence avec les données que vous traitez.

 

Vous devez également prouver que ces données ne sont stockées que pour la durée nécessaire. Et sachez que si vous ne remplissez pas toutes ces obligations en tant que responsable du traitement, c’est vous qui en endossez la responsabilité.

 

Vous devez en outre pouvoir indiquer que vous prenez des mesures de protection suffisantes et que vous traitez uniquement les données strictement nécessaires à votre objet social.

 

En découlent plusieurs droits tels que le droit fondamental à l’information, le droit de regard, le droit à la rectification des données, etc. Une longue série, donc. L’obligation de prévoir chacun de ces droits au sein de votre entreprise ne va pas de soi.

 

Nombre d’entreprises ont dès lors besoin de toute une équipe DP (Data Protection), interne ou externe, afin d’être parées pour le RGPD.'

 

En tant qu’entrepreneur, que devez-vous faire pour satisfaire au RGPD ?

 

Friede explique : 'Pour moi, le plus important est le registre interne.

 

Il s’agit d’un document qui, sur la base des 7 principes, reflète clairement les données personnelles qui sont traitées au sein de votre entreprise, à qui elles sont communiquées et comment elles sont protégées tout au long de ces procédures.

 

Quantité d’entreprises utilisent par exemple le système d’e-mail en ligne Mailchimp venu tout droit des États-Unis. Ce logiciel ne répond toutefois pas à la législation RGPD européenne. Vous devez alors signaler que vous êtes au courant, comment vous évaluez les risques de fuites de données et quelles solutions vous prévoyez en cas de problèmes.

 

Dans le registre interne, vous décrivez donc en fait tout le fonctionnement de votre entreprise et tous les contrats avec des tiers dans le cadre, par exemple, de votre gestion du personnel, gestion des fournisseurs, comptabilité, gestion des clients, etc.'

 

Des conseils pratiques ?

'Bien sûr !' s’exclame Friede. 'Commencez par vous-même : verrouillez votre écran et rangez vos documents quand vous n’êtes pas à votre bureau.'

 

Pas de panique au sujet du RGPD

'C’est vrai', confirme Friede, 'la législation RGPD suppose une très grande maturité en ce qui concerne les connaissances des entreprises au sujet du RGPD. Et c’est précisément là que le bât blesse, alors que l’horloge continue implacablement à tourner.

Ce n’est pas que votre entreprise doit être totalement parée pour le RGPD d’ici le 25 mai 2018, mais ça vaut la peine de vous y mettre dès maintenant !'

'Adaptez vos contrats. Créez un registre interne, décrivez vos processus, veillez à retranscrire vos procédures. Comment réagirez-vous en cas de fuite de données ?

 

Si vous possédez une petite entreprise, vous n’avez pas tant de pain sur la planche. En revanche, pour les grandes entreprises, cela peut se révéler être un travail de titan. Faites déjà preuve de bonne volonté. La Commission vie privée verra alors probablement votre entreprise d’un bon (meilleur) œil lors d’un contrôle.'

 

Titeca Accountancy dissipe vos inquiétudes concernant le RGPD

 

En tant qu’entrepreneur, vous êtes inquiet au sujet du RGPD ? Alors, prenez contact avec Friede : dpo@titeca.be.

 

Friede axe autant que possible ses conseils RGPD sur la pratique. Elle se déplace chez vous pour une formation interne et donne une multitude de conseils avisés.

 

Un dernier précieux conseil de Friede pour la route : 'Pas de panique, mais mettez-vous au travail dès maintenant !'