Home > Nouvelles > Ce qu'un business leader devrait savoir à propos du RGPD
Filtrer les nouvelles :

Newsletter

Ce qu'un business leader devrait savoir à propos du RGPD

Ce qu'un business leader devrait savoir à propos du RGPD
Le Règlement Général sur la Protection des Données, mieux connu sous l'abréviation RGPD (GDPR en anglais), impose des exigences strictes pour le traitement et la conservation de données à caractère personnel en entreprise. Comment faire pour garantir la conformité de votre organisation avec le RGPD ?

 

Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen ayant force de loi en Belgique. Il impose des règles en vue de protéger les données à caractère personnel et la vie privée des citoyens européens.

Toute entreprise qui traite et conserve des données à caractère personnel est tenue de protéger ces données. Le RGPD est entré en vigueur en mai 2016. Les organisations avaient jusqu'au 25 mai 2018 pour se mettre en conformité avec le RGPD. 

Chaque État membre possède une Autorité de protection des données  (APD, l'ancienne Commission de la protection de la vie privée).

Son rôle consiste à veiller au respect du RGPD et à infliger des amendes en cas de violation. Elle n'hésite d'ailleurs pas à le faire : en France, le géant internet Google s'est vu infliger une amende de € 50 millions pour avoir disséminé d'importantes données à caractère personnel sur un trop grand nombre de pages, les rendant ainsi difficilement accessibles aux utilisateurs.

Les PME sont également dans le viseur : un site web allemand a reçu une amende de € 20 000 après un vol de mots de passe par des pirates ayant exploité une faille de sécurité.

 

Qu'entend-on au juste par "données à caractère personnel" ?

On entend par données à caractère personnel toutes données permettant d'identifier des personnes physiques, comme le nom, la date de naissance ou le numéro de téléphone.

Dans une entreprise, il s'agit souvent de données de clients et de collaborateurs. Votre entreprise a le droit de collecter ce type de données, mais jamais sans l'accord de la personne concernée.

De plus, l'utilisation de ces données est limitée aux finalités pour lesquelles elles ont été collectées. Par exemple, vous ne pouvez pas inscrire automatiquement sur une liste de distribution une personne ayant commandé un article en ligne. De plus, ces données ont une durée de conservation limitée au strict nécessaire.

 

Quelles sont les données détenues par votre entreprise ?

Pour contrôler si votre entreprise traite correctement les données à caractère personnel, commencez par:

  • Répertorier les données que vous collectez et vérifiez comment vous les traitez et pendant combien de temps vous les conservez;
  • Vérifiez si chaque traitement de données à caractère personnel a une finalité bien précise, clairement définie et légitime;
  • Demandez-vous aussi si vous avez réellement besoin de ces données ou si vous ne les conservez pas plus longtemps que nécessaire.

Par exemple, si vous avez recruté un nouveau collaborateur, vous devez supprimer les données à caractère personnel des candidats non retenus pour la fonction, sauf si vous avez obtenu leur accord pour les conserver plus longtemps.

Les entreprises de plus de 250 collaborateurs sont tenues de tenir à jour un registre de leurs activités de traitement.

Les PME de moins de 250 collaborateurs sont soumises à la même obligation si elles traitent fréquemment des données à caractère personnel. Ce qui est notamment le cas si elles possèdent une base de données clients ou un registre du personnel. L'APD propose des modèles de registre.

 

Comment vos données sont-elles protégées ?

Chaque entreprise est également tenue de prendre toutes les mesures qui s'imposent pour protéger les données à caractère personnel.

D'une part des mesures techniques, comme des mesures de protection IT et un système limitant l'accès aux données aux seules personnes autorisées.

D'autre part des mesures en vue d'informer votre personnel sur les principes du RGPD et les procédures à suivre en cas d'incident (une perte de données, par exemple). Une PME doit notifier toute perte de données dans un registre interne. Dans certains cas, elle doit aussi informer l'APD et les personnes concernées.

 

En apprendre plus pour protéger votre compagnie

 


 

Etes-vous intéressé de donner votre avis et d'échanger vos idées de comment intégrer proactivement l'ICT Security dans votre entreprise?

Engin Kalça

"En tant que spécialiste IT, j'adore tester les toutes dernières technologies. Chez Proximus SpearIT, j'ai l'occasion de le faire tous les jours. En plus, comme le bureau à Diest est facilement accessible, je ne perds pas de temps dans les embouteillages. Un gros avantage aussi, vu que je suis papa d'une petite fille. Pour moi, le fait que SpearIT appartienne au Groupe Proximus est un atout. C'est une garantie et cela donne confiance dans l'avenir."

Contact