Décidé en 2015 et prévu pour mai 2018, le RGPD — Règlement Général sur la Protection des Données – vise à simplifier, harmoniser et renforcer la protection des données personnelles sur l’ensemble du territoire européen. Il devra être appliqué par toutes les entreprises et organismes qui collectent, traitent et stockent des données personnelles de résidents de l’UE.
Le principal défi du RGPD est de convaincre les entreprises d’assurer la sécurité des données et de réguler le stockage et le transfert de données hors UE. Afin de crédibiliser les nouvelles dispositions, l’UE met en place diverses sanctions.
Le premier type de sanction est de nature financière. Depuis plusieurs années, les lois successives en la matière ont échoué. Ainsi, l’entrée en vigueur du RGPD augmentera drastiquement le montant des amendes. Celles-ci pourront aller jusqu’à 20 millions d’euros ou jusqu’à 4% du CA annuel mondial pour les entreprises.
Les entreprises pourront aussi faire l’objet de plainte pour non respect de la confidentialité des données. Enfin, la conformité au RGPD pourrait devenir un critère de sélection dans la mise en place d’une collaboration.
Pour se mettre en conformité, il est conseillé d’adopter une méthodologie de gestion de projet comprenant une équipe, un budget et un calendrier.
Après avoir sensibilisé la direction générale aux enjeux, planning et sanctions du RGPD, l’entreprise devra recenser et lister l’ensemble des traitements de données personnelles et leur conservation. Dans ce cadre, un registre des traitements devra être créé et mis à jour pour indiquer où les données sont hébergées, pendant combien de temps, avec quelles mesures de sécurité, etc. Les traitements doivent être recensés par objectif (la gestion des recrutements par exemple) et pas par application : c’est l’une des principales difficultés à affronter.
Pour garantir et orchestrer cette mise en place, il est indispensable de désigner un «chef de projet» – pour certain type d’entreprise, la nomination d’un Délégué à la protection des données (DPO) devient même obligatoire. Il mettra en place les procédures internes pour clarifier le type, la gestion, la conservation et la protection des données personnelles.