Activ'Assistante

Le partenaire des assistantes, secrétaires et office manager

RGPD pour retardataire - freestocks org on Unsplash
Coup de coeur Efficacité pro Missions Pro 

RGPD zappé : faut-il s’inquiéter ?

Activ Assistante

Longtemps inscrit sur vos to-do-list, le RGPD est passé du statut « urgent » au statut « zappé ». Bilan : vos bases de données sont non cartographiées à ce jour. Faut-il vous inquiéter si rien n’est fait ?

RGPD zappé ? 10 à 20 millions euros d’amende : le risque est colossal

« Au pire, la sanction en cas d’infraction constatée dans le cadre du RGPD (règlement général des données personnelles) peut atteindre 20 millions d’Euros en fonction de la sanction. Pour les plus « chanceux », la CNIL pourra affliger aux contrevenant une amende de 2 à 4% de leur CA annuel consolidé (pour les groupes), ou du CA annuel (dans les autres cas) » explique Emmanuelle Cornet-Ricquebourg, spécialiste du RGPD et dirigeante de Datae-Consulting.

Alors, autant se réveiller avant un contrôle ou une plainte. Le risque financier est colossal !

« Tout aussi risqué, mais difficile à chiffrer, le déficit d’image sur les réseaux sociaux et/ou les sanctions publiées dans la presse règlementée », ajoute-t-elle. Aujourd’hui, tout se sait et chacun peut agir à tout moment.

Rien n’est fait, mais « aucun risque » ?

« Le RGPD concerne toutes les entités qui traitent et collectent des données à caractère personnel précise Emmanuelle Cornet-Ricquebourg.

Ainsi, attendez-vous à devoir agir au plus vite. « Toute entité doit tenir un ou des registres au titre de la collecte des données à caractère personnel, même s’il s’agit d’une association, une micro-entreprise, une TPE, une start-up ou une collectivité locale… » confirme Emmanuelle Cornet-Ricquebourg.

Ok, je m’y mets. Mais par comment faire ?

Bien comprendre le RGPD.

Le RGPD remplace les dispositions et obligations de la loi informatique et liberté de 1978. Depuis le 25 mai 2018, toute entité aurait dû être en conformité. Grâce au RGPD, les utilisateurs/clients bénéficient du droit à la portabilité, du droit à l’effacement, du droit d’accès, du droit de rectification, du droit d’opposition, du droit d’agir collectivement.

Les détenteurs des données à caractère personnel doivent informer clairement les usagers.

Les entreprises doivent tenir une documentation à jour et un registre des activités de traitement des données à caractère personnel, de manière constante et pérenne.

Dès lors, c’est un travail sur le long terme, et régulier.

Cela sous-entend :

  • la cartographie des traitements de toutes les données (BtoB ou BtoC) à caractère personnel. C’est-à-dire toute base de données (ou liste) qui contient des noms de personnes, des emails pro ou perso, des numéros de téléphone, des adresses professionnelles ou pas…
  • le contrôle de la pertinence des informations recueillies (l’information collectée doit être utile et indispensable au traitement du dossier) ;
  • La tenue du registre des activités de traitement en temps réel (saisie des traitements régulière).
  • La rédaction et la tenue de la documentation
  • En d’autres termes, indique Emmanuelle Cornet-Ricquebourg, « il faut préciser la nature de la collecte des données à caractère personnel et préciser pourquoi et comment elles sont collectées et qui est concerné par l’information. Par exemple : « je les utilise pour générer les fiches de paie, pour les communiquer au Centre des Impôts… ou je les confie à un gestionnaire de paie externe (sous-traitant)« . À tout moment, la traçabilité des actions effectuées sur les données à caractère personnel de la personne concernée doit être assurée.».

Qui peut vous aider ?

Si votre structure est rattachée à une entité qui a nommé un DPO (Data Protection Officer), contactez-le.

Si votre entité n’a pas nommé DPO, vous pouvez consulter les préconisations de la CNIL. Toutefois, construire le registre demande beaucoup de temps et d’attention, le risque de non-conformité est réel. Même un ancien correspondant CNIL (CIL) doit se former avant de devenir DPO.

Dans l’idéal, contactez un juriste ou une plateforme conçue par ou avec des experts du RGPD. Ils vous aideront à constituer votre registre (ou vos registres si vous êtes sous-traitant). Comptez, pour une TPE, entre 5 et 8 jours d’accompagnement. Plus ou moins si vous travaillez dans une TPE ou une PME qui a déjà effectué un audit informatique et liberté.

Vous envisagez de vous (in)former sur le sujet ?

Protection des données personnelles – RGPD – 1 jour (Cegos)

Protection des données personnelles : le nouveau droit – 6 semaines (Cnam, via Fun Mooc, gratuit, 2,5 h de travail par semaine. Suivez ce module si, par la suite, vous envisagez de devenir DPO !

Emmanuelle Cornet-Ricquebourg DATAE! RGPDEmmanuelle Cornet-Ricquebourg

Vous souhaitez vous mettre en conformité avec le RGPD ? Contactez DATAE!

DATAE se propose de vous former au RGPD, de procéder à l’audit de conformité de votre entité, de construire votre registre et de mettre en place la conformité au RGPD dans votre entité. datae-ready@datae-consulting.com 06 60 21 95 03 www.datae-consulting.com

Vous pourrez aussi aimer

etre reconnu au travail

Être reconnu au travail : un besoin capital ?

Activ Assistante

Demain, je me lance… Ne pensez plus. Agissez

Activ Assistante
dematerialisation appel d offres

Appel d’offres dématérialisé : osez !

Activ Assistante