Le GDPR, ou officiellement, le règlement général sur la protection des données 2016/679 entrera en vigueur le25 mai 2018.
En d'autres termes, il vous reste moins de dix-neuf mois pour vous préparer à ce qui est le plus grand bouleversement en matière de protection des données de la dernière décennie. Par conséquent, les entreprises, leurs employés et leurs tiers auront moins de dix-neuf mois pour se préparer à des perturbations importantes dans la manière dont ils stockent, gèrent et traitent les données personnelles.
Alors, en tant qu'entreprise, comment voir la forêt pour les arbres ? Sur quoi devriez-vous vous concentrer et, si vous deviez les classer dans une liste de 5 choses prioritaires que vous devriez faire en tant qu'entreprise, quelles seraient-elles ?
- Comprendre le champ d'application du GDPR
- Comprendre le champ d'application du GDPR
Dans les termes les plus simples, la principale différence entre l'ancien règlement sur la protection des données et le nouveau règlement GDPR est l'âge. Comme beaucoup de nos aïeux, le premier est né au cours d'une génération précédente, avant l'essor d'Internet, de Facebook et de Google, par exemple. Le nouveau règlement a un champ d'application étendu et d'une portée considérable.
Tout d'abord, pour toute entreprise qui traite des données personnelles de citoyens de l'UE ou surveille leur comportement, ou qui peut avoir du personnel opérant dans l'UE, la conformité au GDPR sera requise. Le GDPR a également une portée territoriale supplémentaire et, par conséquent, si vous êtes une organisation hors de l'UE qui n'a même pas de présence physique dans l'UE, le GDPR peut quand même s'appliquer.
- Identifier l'imposition d'autres obligations
Le GDPR exige la transparence dans la fourniture d'informations aux personnes concernant le traitement de leurs données personnelles. Il est essentiel que les organisations revoient leurs avis et politiques de confidentialité pour s'assurer que toutes les informations nécessaires sont fournies aux individus.
Le consentement reste l'un des motifs de traitement ultérieur prévus par le nouveau règlement, mais le seuil est désormais plus élevé qu'auparavant. Compte tenu de ce seuil plus élevé, les organisations doivent s'attacher à obtenir un accord clair et dissocié du client si elles souhaitent se fonder sur cette justification du traitement. Il convient également de noter que la preuve de ce consentement est essentielle et que, par conséquent, l'enregistrement et la conservation des données doivent être d'un niveau supérieur.
- Sensibiliser les personnes concernées à leurs droits.
Le GDPR a introduit quelques nouveaux droits importants et renforcés pour les individus en ce qui concerne leurs données personnelles. Les personnes concernées ont le droit d'accéder, de porter, de restreindre et de s'opposer au traitement de leurs données personnelles. Les personnes concernées peuvent également exiger le transfert de leurs données personnelles vers elles ou directement vers un nouveau fournisseur dans un format interopérable et lisible par machine. Cela s'applique lorsque les données ont été fournies par la personne concernée au responsable du traitement, traitées automatiquement ou traitées sur la base du consentement ou de l'exécution d'un contrat. Pour toute organisation, le droit à la portabilité des données personnelles est un droit qui nécessitera une planification et une préparation afin que vos employés puissent disposer de toutes les ressources nécessaires pour traiter de telles demandes.
- Éduquer, Éduquer, Éduquer ou être réprimandé.
En vertu de la directive actuelle sur la protection des données, les sanctions financières varient considérablement d'un État membre à l'autre. En revanche, dans le cadre de la nouvelle législation GDPR, les pouvoirs d'exécution seront considérablement accrus, y compris les amendes qui peuvent être imposées et qui culminent à 20 millions d'euros ou 4 % du chiffre d'affaires mondial total.
Compte tenu des amendes substantielles qui peuvent être imposées, les organisations doivent investir du temps et des ressources pour se mettre en conformité avec le GDPR. Cela inclut l'éducation de toutes les parties prenantes, des dirigeants aux sous-traitants tiers qui influencent votre capacité à atteindre et maintenir la conformité au GDPR.
- Aborder le GDPR de front et agir de toute urgence
Pour citer Léonard de Vinci : "J'ai été impressionné par l'urgence de faire. Il ne suffit pas de savoir. Nous devons appliquer". C'est le type de leadership éclairé que les organisations doivent avoir pour faire face au GDPR.
Une culture de la conformité est essentielle pour le succès de votre organisation lorsqu'il s'agit d'aborder le GDPR, la formation du personnel et des politiques claires doivent être en place. Cela permettra également de répondre à la nécessité des dispositions du GDPR en matière de responsabilité. Les processus de gestion des incidents liés à la protection de la vie privée doivent être clairs et concis, et les politiques internes correspondantes doivent être révisées afin de garantir que les violations de données sont traitées immédiatement et selon le bon processus.
Vous souhaitez planifier votre approche de la conformité au GDPR le plus tôt possible et obtenir l'adhésion des principales parties prenantes de votre organisation ?
Si vous avez besoin d'aide pour votre projet GDPR, nous avons collaboré avec des experts en la matière pour produire GDPR pour les Nuls en association avec Wiley, la marque officielle des Nuls. Vous pouvez demander votre exemplaire gratuit ici.
MetaCompliance a conçu et créé des cours eLearning qui peuvent aider votre organisation à sensibiliser les employés tout en engageant les cadres supérieurs pour assurer leur adhésion. Contactez MetaCompliance et découvrez comment sa bibliothèque et ses services de sensibilisation à la cybersécurité et au eLearning peuvent vous aider à établir la conformité au GDPR dans votre organisation d'un point de vue de la confidentialité et de la sécurité de l'information.
