GDPR: Que peuvent faire les entreprises en moins d’un mois ?

4 avril 2018

Alors que le règlement est entré en vigueur, c’est officiel les entreprises ne sont pas prêtes !

Pour autant, comme le souligne la présidente de la CNIL, Isabelle Falque-Pierrotin, « le 25 mai n’est pas une date couperet annonciatrice d’une pluie de sanctions ». Pour le régulateur, qui a décidé de faire « preuve de souplesse et de pragmatisme » l’essentiel pour les entreprises est d’avoir entamé le travail de mise en conformité. Et comme il n’est jamais trop tard pour se mettre en ordre de marche, les entreprises ont la possibilité de mener des actions rapides et efficaces en vue de la date butoir. Prêts pour un check up ? C’est parti !

Comme le souligne Isabelle Falque-Pierrotin, le GDPR est une « démarche lourde et exigeante, en particulier pour les petites entreprises (…) elles doivent remplacer le processus de déclaration préalable à la mise en œuvre d’un traitement de données personnelles. » C’est pourquoi, la CNIL a décidé de les accompagner plutôt que de les sanctionner.

Toutefois, la présidente précise que pour un « certain nombre de principes du RGPD qui ne sont pas nouveaux. Par exemple, l’obligation de devoir préciser à quelles fins des données personnelles sont collectées, ou bien les limites relatives à la durée de conservation d’une donnée (…) nous avons contrôlé le 26 mai, comme on le faisait le 12 avril. En revanche, sur les principes ou outils nouveaux, comme le droit à la portabilité des données d’un service à un autre, les délégués à la protection des données ou le registre de traitement, nous adopterons une posture d’accompagnement. ».

Au 25 mai, les entreprises qui n’étaient pas en conformité avec le GDPR devaient au moins l’être avec la Loi Informatiques et Libertés de 1978.

L’essentiel de la démarche de mise en conformité passe par un audit général des traitements afin d’identifier des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées. Elle doit mener, pour chacun de ces traitements, une étude d’impact sur la protection des données (en anglais, Privacy Impact Assessment ou PIA).

Dominique Cozzi – Journaliste

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/