A partir du 25 mai 2018, toutes les entreprises, associations ou organismes publics qui collectent des informations personnelles sont soumis au RGPD (Réglementation Européenne pour la Protection des Données Personnelles). Cette réglementation se base sur 4 principes :

  • Le consentement : C’est un acte qui détermine un accord positif au traitement des données personnelles il peut à tout moment être rompu sans raison. Il doit être obligatoire et transmit de manière oral ou par mail. Pour les entreprises qui exercent un commerce en BtoB le consentement n’est pour l’instant pas obligatoire.
  • La transparence : Les entreprises sont tenues d’expliquer de façon clair et précise le traitement des données collectées, celles-ci sont accessibles par tous via des documents contractuels et formulaires de collecte.
  • Le droit des personnes : Des droits sont apparus dans le règlement comme le droit à l’oubli pour tous les utilisateurs. Les organisations n’ont plus qu’un mois (au lieu de deux) pour supprimer les données suite à une demande.
  • Le droit à la portabilité : Des données est aussi une nouveauté. Il permet à un individu de récupérer les informations qu’il a fournies sous une forme réutilisable pour  les transférer à un tiers.
Fonctionnement de la RGPD

Fonctionnement de la RGPD

La RGPD a été mise en place afin de redonner confiance aux consommateurs physiques BtoC et de réactualisé la législation de la protection des données. Elle intervient pour la protection des personnes physiques et de l’impact dans les pays de l’UE. Il faut que la collecte des données soit légitime, déterminée, transparente, conservé, autorisé et consentit. A tout moment chaque personne peut retirer son consentement.

La RGPD n’est pas obligatoire dans les entreprises de moins de 250 salariés, qui présente un risque, dans lesquels les données sont cryptées ce qui exige à l’entreprise des efforts disproportionnée, l’utilisation d’un outil qui mesurera la gravité de la violation. En cas de manquement au RGPD la CNIL sera en charge d’appliquer des sanctions.

Pour sécuriser les données et les traitements, il faut que l’entreprise mette en place :

  • Un registre des activités ;
  • Des outils qui montreront la conformité écrite ;
  • Une notification de validations des données ;
  • Une déclaration CNIL dans les 72h ;
  • Une réalisation d’analyses d’impact ;
  • Une désignation d’un délégué à la protection des données.

 

Pour que la RGPD  soit respectée il faut obligatoirement un Délégué à la protection des données (DPO). Il veille à ce que l’employeur ou client respect la législation sur la RGPD. Cette personne doit être dépendante des conflits et peut être un membre de l’entreprise ou un simple prestataire mais il doit posséder des connaissances juridiques, d’organisation spécifiques au données sensibles. Il sera amené à travailler avec les différents services de l’entreprise (RH, le marketing,…). L’intérêt de posséder un DPO est de vérifier la conformité de la mise en place du RGPD. Il conseille, informe et recommande sur la collecte des données.

 

Le responsable de traitement de données à caractère personnel est quand à lui l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens (sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement). Il s’agit de la personne morale incarnée par son représentant légal.

Pour la bonne mise en place du RGPD, les entreprises doivent concevoir un registre des activités.

Ce document permet de classer l’utilisation des données. Il doit comporter les informations suivantes :

  • Le nom et les coordonnées du responsable du traitement ou ceux du responsable conjoint du traitement et du DPO ;
  • Les finalités du traitement ;
  • Une description des catégories de personnes et des catégories de données à caractère personnel ;
  • Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
  • Les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale. Soit l’identification du pays tiers ou de cette organisation internationale ou dans le cas des transferts, les documents attestant de l’existence de garanties appropriées;
  • Les délais prévus pour l’effacement des différentes catégories de données;
  • Une description générale des mesures de sécurité techniques et organisationnelles.

 

La RGPD prévoit des aussi des obligations pour le registre du sous traitant. Il doit être tenu (soit par écrit ou électroniquement) par les sous-traitants eux-même et doit recenser toutes les catégories d’activité de traitement effectuées pour le compte des clients de l’entreprise. Il met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Pour chaque catégorie d’activité, le registre doit comporter :

  • Le nom de chaque client, responsable de traitement ;
  • Le nom et les coordonnées des sous-traitants auxquels l’entreprise fait appel ;
  • Les catégories des traitements ;
  • Les transferts de données ;
  • Une description générale des mesures de sécurité technique et organisationnelle ;

 

Un des principes de la RGDP consiste en la mise en place d’une plateforme unique de stockage des données. Utiliser un outil de GED (Gestion Electronique des Documents)  va permettre de fournir des preuves de conformité qui sont  essentielles à la RGPD.

La GED concerne la gestion des documents numériques, l’archivage et la dématérialisation des documents. Pour mettre en place une dématérialisation de documents, une entreprise doit numériser ces documents qui sont encore sous forme de papiers. Ensuite, elle sera amenée à effectuer l’archivage de ces documents c’est-à-dire à classer et stocker de manière numérique pour qu’elle puisse les retrouver rapidement.

Les avantages d’utiliser un logiciel de GED pour une entreprise sont nombreux. Tout d’abord, la consultation à tout moment d’un document est essentielle pour permettre d’augmenter l’efficacité de travail d’une entreprise, ainsi de gagner du temps lors de la recherche d’informations. En effet tous les documents sont réunis dans un seul dossier ce qui favorise la sécurité des documents et du stockage. Enfin, l’entreprise grâce à la GED va permettre de réduire les coûts liés à la recherche  et à la diffusion.

Utiliser la GED pour une entreprise est indispensable pour le bon fonctionnement et le développement du business de l’entreprise.

Il existe plusieurs logiciels pour faciliter la GED qui permet par exemple la traçabilité (qui, a quel moment, quand) des documents mis sur le serveur.

 

La signature électronique permet de valider la conformité d’un document. Cela va devenir indispensable dû à la GED. La signature électronique est actuellement une suite de caractères lettres et chiffres. Elle peut être envoyée par mail, PDF ou dans les applications spécifiques à certains métiers.

Pour mettre en place un système de numérique, il faut que l’entreprise fasse appel à une cryptographie. Elle va permettre d’authentifier le signataire, de garantir l’intégrité du document et d’assurer la non-répudiation.

La signature électronique améliore grandement la RGPD car elle présente plusieurs avantages tels que la rapidité. L’envoi du document prend quelques secondes. De plus, avec cette méthode n’utilise pas de papiers. La RGPD est un rôle essentiel pour les signatures électroniques qui permet de vérifier l’intégrité d’un document.