BLOG

Le RGPD : entretien avec Stéphane, DPO chez OCSI

Qu’est-ce que le RGPD ?

C’est le Règlement Général sur la Protection des Données qui définit les droits et les règles initialement établi par la CNIL pour le traitement et la protection des données.

Ce règlement renforce les droits des personnes et responsabilise les entreprises qui traitent leurs données. Il a pour objectif de protéger l'intégralité des données qui sont traitées, consommées, stockées de façon informatique.

 

Depuis quand s’applique-t-il ?

Le RGPD est entré en vigueur en 2016, mais s’applique réellement depuis le 25 mai 2018.

La France avec la CNIL était précurseur et avait mis en place depuis 2000, les fondations de ce qui deviendra le RGPD au niveau Européen.

 

Quelles sont les étapes de la mise en conformité ?

Il y a plusieurs étapes pour la mise en conformité, à savoir :

-          Constituer un registre des traitements : qui recense les traitements réguliers de l’entreprise qui collectent et manipulent de la donnée personnelle pour avoir une vision d’ensemble,

-          Faire le tri des données : en s’assurant que ce sont des données liées à l’activité/données non-sensibles, manipulées par des personnes habilitées et que le délai de stockage des données soit respecté,

-          Informer les utilisateur.trice.s : sur l’utilisation de leurs données et leurs droits. Dans le cadre du RGPD, l'utilisateur qui donne ses données à un droit de regard et peut la détruire.  

-          La sécurisation des données : prendre les mesures nécessaires pour assurer la sécurisation des données.

 

Quel est l’objectif du RGPD ?

L’objectif étant de faire en sorte que les utilisateurs ont pleinement conscience de ce qu'on va faire de leurs données, qu’ils puissent donner un accord tacite (volontaire) d'utiliser leurs données. Donc le RGPD sert à protéger les données et les utilisateurs.

 

Quels sont les risques de ne pas être conforme ?

 Il y a deux grands risques. Un exemple : je ne suis pas conforme donc on me vole ma donnée et elle est utilisée pour autre chose.

-          Une sanction : Amende liée au pourcentage du chiffre d'affaire jusqu’à 4% du CA.

-          Risque pour l'image : mauvaise publicité. C’est le cas avec Google, Carrefour Banque, Spartoo * ..., épinglés par la Cnil pour non-respect de la RGPD.

 

*Source Cnil https://www.cnil.fr/fr/tag/sanctions

 

Qui est concerné par le RGPD ?

Ce règlement s’applique à toute organisation publique et privée, qui traite des données personnelles, sur le territoire de l’Union Européenne, ou quand son activité concerne des résidents européens. Quand on est salarié.e par exemple votre entreprise doit légitiment traiter des données dans le cadre de votre contrat de travail, mais pour autant le ou la salarié.e doit savoir quel type de données on traite, ce que l’on en fait et doit être informer de ses droits.

 

Dans le cadre du RGPD , ce n'est pas seulement la protection de la données dans son utilisation que nous traitons, mais tout le traitement de la donnée.

D’ailleurs, un des plus gros problèmes actuels sur la donnée c'est souvent sa rétention …on la garde trop souvent trop longtemps.  

 

è Une bonne pratique RGPD

Minimiser le nombre de donnée collectée et les conservées que le temps du traitement :

On ne collecte que le strict nécessaire au traitement et on détruit (ou anonymise) la donnée dès que possible.

 

Quel est ton rôle et quelles sont tes responsabilités ?

Je suis DPO (Data Protection Office) et j’ai 5 grandes missions :

-          Aider l’entreprise à cartographier les traitements de données,

-          Conseiller & Informer les dirigeants & les collaborateur.trice.s,

-          Contrôler le respect du règlement,

-          Être le point de contact pour la CNIL et les personnes concernées pour les questions liées au RGPD,

-          Je m’occupe de l’animation de la communication de la RGPD et de la formation des collaborateur.trice.s.

 

Comment le RGPD s’applique-t-il chez OCSI ?

Le RGPD chez OCSI est abordé à travers la démarche ISO 27001. On est dans une phase de cartographie des traitements, et de mise en place de tous les processus associés à la RGPD.

Nos principaux processus sont déjà couverts et nous élargissons notre périmètre en permanence.

On communique sur les droits des utilisateur.rice.s et des collaborateur.rice.s. L’aboutissement de ce processus est prévu pour fin d’année.

 

En pratique, la mise en place du RGPD c'est finalement beaucoup de bon sens. Avant celui-ci, la CNIL permettait de protéger mais ne donnait pas la capacité à l’utilisateur de dire à l'entreprise de supprimer les données ni d’accéder facilement à celles-ci. 

Le RGPD évolue dans le temps et nous devons donc nous adapter en permanence.

Par exemple : l'année dernière il y a eu un ajustement du RGPD pour que l’accord sur le Cookie (Cookie Consente) ne soit plus automatique. En effet, il faut par exemple maintenant cocher la case « j’accepte de recevoir la newsletter » et non plus cocher quand on ne veut pas la recevoir pour ne pas tromper l’utilisateur.

 

Le RGPD, c’est un processus d'amélioration continue, tout ne peut pas être mis en place tout de suite, mais il faut montrer la volonté de s'améliorer jour après jour. Ce processus s'imbrique parfaitement dans la mise en conformité de la norme ISO 27001.

Admin

Responsable Ti - Montréal


Articles similaires