La conformité RGPD en 2021 : ce qu’il faut savoir !

Le RGPD est une réglementation européenne désormais en vigueur depuis plus de 2 ans. Pourtant, de nombreuses entreprises rencontrent encore de nombreuses difficultés de conformité RGPD. Que faut-il savoir en 2021 pour se mettre en conformité avec les exigences RGPD ? 

Avec les cyberattaques dont ont fait l’objet différents centres hospitaliers depuis le début de l’année 2021, la conformité au RGPD est plus que jamais d’actualité. Pour les entreprises soucieuses d’entamer une démarche de mise en conformité, voici les points à savoir. 

Qu’est-ce que le RGPD ? Quels sont ces enjeux ?  

Qu’est-ce qui se cache derrière ce sigle obscur : RGPD ? 

Le RGPD est le Règlement Général sur la Protection des Données relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, adopté par le Parlement européen et le Conseil en avril 2016 et entré en vigueur depuis le 30 mai 2018. C’est la CNIL qui, en France, veille au respect de l’application de cette réglementation au titre de ses missions de protection des libertés individuelles. 

Quelles sont les entreprises concernées par cette réglementation ? 

Le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors : 

  • qu’elle est établie sur le territoire de l’Union européenne,
  • ou que son activité cible directement des résidents européens. 

Comment atteindre la conformité au RGPD en 2021 ? 

La CNIL a mis fin au temps de la tolérance et a publié à l’occasion de sa délibération du 17 septembre 2020 ses dernières recommandations, notamment en ce qui concerne les cookies et autres traceurs, auxquelles les entreprises devront se confronter au plus tard fin mars 2021. 

Constituer un registre de vos traitements de données

Il convient, pour commencer, d’identifier les activités principales de l’entreprise qui nécessitent la collecte et le traitement de données personnelles comme par exemple : les étapes de recrutement, les statistiques de vente, la gestion des prospects, etc. 

Pour chaque activité ainsi recensée, il est recommandé de préciser sur une fiche de registre :

  • l’objectif poursuivi ;
  • les catégories de données collectées et traitées ;
  • les personnes dotées d’un accès à ces données ;
  • la durée de conservation de ces données en archive.

Ne recenser que les données utiles

La constitution de ce registre permet de faire un tri des données opérationnelles. Elle permet de vérifier la nécessité des données pour les activités de l’entreprise. A cette occasion, les entreprises peuvent minimiser leurs processus de collecte de données en éliminant les formulaires inutiles. 

S’assurer de la conformité des pratiques de l’entreprise

Pour chaque fiche de registre, il convient de vérifier s’il s’agit de données dites “sensibles”, si les personnes qui y ont accès sont habilitées pour ce faire, et si les données ne sont pas conservées au-delà de ce qui est nécessaire. Des règles automatiques d’effacement des archives peuvent s’avérer nécessaires. 

Informer les personnes des recueils de données

Le RGPD œuvre pour la transparence et la confiance numérique. A ce titre, il impose aux entreprises une obligation d’information pour chaque opération de collecte de données personnelles. 

L’information doit contenir les éléments suivants : 

  • la finalité de la collecte ;
  • le fondement juridique qui autorise l’entreprise à collecter et à traiter des données personnelles : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime » ; 
  • les personnes habilitées à accéder aux données ;
  • la durée de conservation ; 
  • les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits ;
  • si l’organisme transfère les données hors de l’UE en indiquant le pays de destination et l’encadrement juridique apte à maintenir le niveau de protection des données.

Il est possible de renvoyer à la politique de confidentialité de l’entreprise. 

Respecter les droits du RGPD conférés aux personnes sur leurs données personnelles

Le RGP impose de mettre en mesure les personnes dont les données sont collectées d’exercer effectivement leurs droits sur leurs données : 

  • droit d’accès ; 
  • droit de rectification ;
  • droit d’opposition ;
  • droit d’effacement ;
  • droit  à la portabilité et à la limitation du traitement.

Sécurisation des données collectées et traitées

Les entreprises doivent prendre les mesures nécessaires pour garantir la sécurité des données en fonction de la sensibilité des données. Il s’agit d’une obligation légale. Il est donc nécessaire pour les entreprises de devenir de véritables acteurs de la sécurité informatique et numérique. 

L’accompagnement BECYCURE pour la mise en conformité RGPD des entreprises

Près de 65% des entreprises sont encore non-conformes au RGPD. C’est pour faire face à ce constat alarmant pour la compétitivité des entreprises et la protection des données personnelles que BECYCURE engage son expertise en matière de sécurité informatique pour accompagner ses clients dans leur mise en conformité face aux exigences imposées par la réglementation européenne. Cette accompagnement se décline de la manière suivante :

  • Audit de Cyber Résilience afin d’identifier les failles dans votre SI (renvoi vers page Audit)
  • La mise en oeuvre de solutions techniques permettant d’être en conformité avec la réglementation RGPD : protection des données à caractère personnel, détection en temps réel d’un incident de sécurité 

BeSOC et BeAnalyse as a Service, deux solutions qui permettent à nos clients de s’aligner rapidement avec les contraintes RGPD (renvoi page Service Managés).