Nous vous en parlions il y a quelques temps déjà : le RGDP (Règlement Général sur la protection des données) ou encore GDPR (General Data Protection Régulation) entrera en vigueur dans moins d’un an, le 25 mai 2018. Le compte à rebours est donc lancé pour que votre entreprise s’adapte à cette nouvelle législation !

1. The GDPR Final Countdown: 9 conseils pour vous preparer au mieux à ce règlement
Nous vous en parlions il y a quelques temps déjà : le RGDP (Règlement Général sur la protection des
données) ou encore GDPR (General Data Protection Régulation) entrera en vigueur dans moins d’un an, le 25
mai 2018. Le compte à rebours est donc lancé pour que votre entreprise s’adapte à cette nouvelle
législation !
Consigne de lecture – cet article ne peut être lu sans écouter la chanson qui
suit: https://www.youtube.com/watch?v=9jK-NcRmVcw
Le RGPD vient modifier en profondeur le traitement et la conservation des données personnelles, véritable
garantie d’une protection plus importante de la vie privée des citoyens européens, en accroissant la
responsabilité des responsables de traitement vis-à-vis de celles-ci.
Focus sur ce règlement phare visant toutes les entreprises et sur comment préparer votre entreprise à
amorcer le changement « RGPD » en quelques étapes clés ?
 Petit rappel : qu’est-ce que le RGPD ? Quelles en sont les principales mesures ?
Le RGPD a été créé dans le but de renforcer les exigences concernant la protection des données
personnelles des citoyens européens tant sur le traitement de ces données, que sur leur collecte, leur
gestion ou leur stockage.
Il vient donc renforcer les directives datant de 1995 et créer un fondement commun aux 28 états
membres de l’UE concernant la protection de ces données. Parmi ces mesures apparaissent le droit à
l’oubli, la responsabilité (« accountability ») et transparence demandée aux entreprises quant aux
données collectées ou encore l’obligation de notifier toute violation de données personnelles dans les 72
heures à l’autorité de contrôle (la CNIL, en France).
Au-delà de tous les aspects précédemment cités, le RGPD engage aussi plusieurs autres critères à
respecter : comme, par exemple, le « Privacy By Design », concept qui oblige à la prise en compte de la
notion de données personnelles dans les projets dès la conception d’une application ou base de données. Le
but de cette dernière est de garantir le plus haut niveau possible de protection des données et ce pour
chaque utilisation. Enfin, le règlement implique l’obligation de nommer un DPO (Data Protection Officer ou
Délégué à la Protection des Données) dans certains cas prévus par celui-ci.
Dans le secteur public, cette obligation concerne à la fois les administrations centrales, les organes
déconcentrés ou encore les collectivités territoriales. Concernant le secteur privé, les entreprises dont
l’activité consiste en des traitements de données personnelles à grande échelle seront également tenues de
désigner un tel délégué. Dans une économie de plus en plus tournée vers les données, cette obligation
concerne ainsi de très nombreuses entreprises.

2.  Comment se préparer à la transition RGPD, nos 9 conseils :
Votre entreprise commence sa transition ou n’a pas totalement effectué sa transition vers le RGPD ? Voici
quelques conseils pour faciliter l’adaptation de votre structure à ces exigences :
1. SENSIBILISEZ VOS COLLABORATEURS
La première clé pour une adaptation réussie à la règlementation RGPD est de sensibiliser, et ce en amont de
toute action, l’ensemble des personnes décisionnaires de votre entreprise à ce changement de loi. Qui de
mieux que les salariés eux-mêmes pour vous aider à identifier quels pourraient être les freins de votre
entreprise à une adaptation réussie ?
2. IDENTIFIEZ VOS DONNÉES SENSIBLES
Il est important dès à présent de cartographier les données à caractère personnel que vous détenez,
d’identifier leur provenance et avec qui ces données sont ou seront partagées.
3. AUDITEZ VOS MACHINES SENSIBLES
Un travail d’audit régulier est conseillé dans ce sens : le RGPD exigera de garder une trace de toutes ces
opérations suivant le principe de transparence et de conformité (« accountability principle »).
Pour ce faire, notre solution de gestion des vulnérabilités IKare vous permet de suivre de plus près vos
machines sensibles à l’aide de ses nouvelles fonctionnalités orientées RGPD. (Téléchargez la version
gratuite ici )
Il est également conseillé aux entreprises de suivre les normes et bonnes pratiques de sécurité de
l’Information au sein même de leur organisation et de prouver leur bonne foi en cas de contrôle des autorités
concernées. Dans ce sens, une organisation peut, par exemple, mettre en place un Système de Management
de la Sécurité (certification ISO 27001).
4. AUTOMATISEZ LES AVERTISSEMENTS ENVERS VOS CLIENTS
Assurez-vous également que vos avertissements concernant la collecte potentielle de données personnelles
soient à jour. Pour ceci, vous devez bien prévenir les clients du but de cette collecte et de leurs droits les
concernant (droit d’opposition, de rectification et d’effacement, droit à la limitation du traitement, droit à la
portabilité et d’accès concernant ces données). N’oubliez pas d’actualiser les accords déjà existants s’ils ne
respectent pas le Règlement.
5. FAITES ATTENTION AUX SPÉCIFICITÉS DE VOS CLIENTS
Réfléchissez aussi à un processus qui aura pour but d’identifier les spécificités de vos clients, par exemple
pour l’âge de ces clients. En effet, tout individu ayant moins de 16 ans a une protection et un statut
particulier grâce au RGPD : il sera donc interdit de stocker ses données personnelles sans autorisation d’une
personne titulaire de l’autorité parentale.
6. NOTIFIEZ DES VIOLATIONS DE DONNÉES
Assurez-vous d’avoir bien mis en place les procédures nécessaires pour détecter, identifier toute violation
des données personnelles : si une violation est bien effective, vous aurez alors 72 heures pour en notifier la
CNIL. Si la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les
droits et libertés des personnes, il faudra aussi notifier les personnes concernées dans les meilleurs délais
(voir notre 3ème conseil pour l’audit des machines sensibles pour éviter les failles de sécurité qui pourraient
générer une violation de données, où vous pourrez télécharger la version gratuite de notre solution Ikare).
7. AMÉLIOREZ VOS PROCESS DE TRAITEMENT DES DEMANDES CLIENTS

3. 7. AMÉLIOREZ VOS PROCESS DE TRAITEMENT DES DEMANDES CLIENTS
Prendre en compte la façon avec laquelle vous choisirez d’interagir avec les clients, par exemple, dans le cas
d’une demande de suppression de données personnelles, sera tout aussi important. Pensez à analyser si la
structure actuelle de votre organisation vous permet de gérer ces demandes (droit d’accès, droit
d’opposition, droit de rectification et d’effacement, droit à la limitation du traitement, droit à la portabilité),
et quelles mesures organisationnelles prendre pour pouvoir le faire. Il est à rappeler que vous devez
répondre dans les meilleurs délais et en tout état de cause vous disposerez d’une délai d’un mois (et non plus
40 jours comme aujourd’hui) pour accéder à toute demande effectuée. Ce délai peut être prolongé de deux
mois, compte tenu de la complexité et du nombre de demandes (information de la personne concernée et
motifs du report dans un délai d’un mois).
S’il n’est pas possible de répondre favorablement à la demande d’un client concernant ses données
personnelles, vous devrez le prévenir (là aussi dans un délai maximal d’un mois) et les informer de la
possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours
juridictionnel.
8. REPÉREZ LES AUTORITES CONCERNEES
Si votre entreprise opère dans plusieurs pays membres de l’Union Européenne, vous devrez bien identifier
quelle est l’autorité de contrôle dont vous dépendez (en fonction du pays où votre siège social se trouve) : en
France, par exemple, il faudra donc vous tourner vers la CNIL.
9. GÉREZ LES RISQUES POUR VOTRE ENTREPRISE EN CAS DE NON-RESPECT DU RGPD
Si votre entreprise n’applique pas à temps les mesures mises en place dans un peu moins de 10 mois, les
risques encourus peuvent être colossaux et dramatiques pour votre structure, au-delà des problèmes
d’image qui affecteront votre organisation.
En effet, vous encourrez d’importantes sanctions administratives qui pourront vous être infligées par les
autorités nationales compétentes, passant par des amendes administratives pouvant aller jusqu’à 20 millions
d’euros ou 4% du Chiffre d’Affaires annuel mondial total de l’exercice précédent, le montant le plus élevé
étant retenu.