Il ne vous a peut-être pas échappé que le nouveau Règlement Communautaire sur la Protection des Données Personnelles (RGPD) entrera en vigueur le 25 mai 2018. Il vient remplacer notre « vieille » loi Informatique et Libertés de 1978. Est-ce la révolution annoncée partout ? Non, mais cela implique toutefois de procéder à quelques mises à jour pour chaque entreprise :
1° Organisationnelle
Finies les déclarations à la CNIL ! Maintenant chaque entreprise se doit de cartographier elle-même les traitements de données personnelles qu’elle réalise pour son compte (salariés, fournisseurs, clients/prospects) ou pour le compte de tiers.
L’idée est de répondre aux questions : Où sont stockées ces données ? Quelles sont ces données ? Qui y a accès ? Comment sont-elles sécurisées ? Combien de temps sont-elles conservées ?
L’ensemble de ces informations doit être conservé et mis à jour dans un registre des traitements.
L’entreprise doit également évaluer le risque de ces traitements au regard de l’impact pour la vie privée des personnes concernées. Plus le risque est important plus il faut mettre en place des moyens techniques et organisationnels de sécurisation adéquats.
Bref c’est un système de responsabilisation.
2° Contractuelle
Le règlement impose systématiquement d’intégrer dans vos documents contractuels avec vos clients ou vos sous-traitants (et ces derniers avec leurs propres sous-traitants et ainsi de suite …) des clauses spécifiques aux traitements et à la sécurisation des données personnelles, dès lors bien entendu que la relation contractuelle implique un transfert ou un traitement de données personnelles.
Cela implique d’amender les conditions générales de vente ou d’achat, les contrats types et/ou de développer un document ad hoc qui pourra être échangé entre les parties.
3° Informationnelle
Les informations à donner aux personnes concernées par le traitement sont renforcées. De nouveaux droits apparaissent : le droit à la portabilité des données, le droit à la limitation du traitement, la possibilité d’organiser le sort de ses données après sa mort… de même que l’obligation d’informer les personnes de la possibilité de saisir la CNIL
Cela implique de compléter les mentions types figurant dans les formulaires de collecte de données ou dans les échanges que l’on peut avoir avec les personnes concernées.
Le cabinet peut bien entendu vous assister sur ces différents points.