Un partenaire de conformité
Le Règlement Général sur la Protection des Données (RGPD) entrera en application le 25 mai 2018. Ce texte entend offrir un cadre harmonisé aux Etats-membres en matière de protection des données à caractère personnel, et de ce fait, une plus grande sécurité pour les personnes concernées. MGSI accompagne les multinationales, les PME, les sociétés artisanales, les associations et les organisations vers leur conformité. Explications de la CEO de MGSI, Mélanie Gagnon.
Qu’est-ce qui changera avec l’application du RGPD?
Un des principaux objectifs est de redonner le contrôle aux personnes concernées sur leurs données à caractère personnel, en intégrant de nouveaux droits, notamment le droit à la portabilité et le droit à l’effacement. Aussi, elles auront le droit, sous certaines conditions, de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage.
Ce cadre législatif veut atténuer la fragmentation actuelle des lois nationales de protection des données, tout en laissant une certaine marge de manœuvre aux Etats-membres qui pourront par exemple choisir l’âge minimum du consentement des enfants.
Les entreprises établies hors de l’UE qui offrent des biens et services aux personnes concernées dans l’Union et/ou suivent le comportement de ces personnes, devront se soumettre au RGPD.
En outre, des principes de protection des données devront être implantés dès la conception des produits, services ou systèmes exploitants des données à caractère personnel (Privacy by Design).
Certaines entreprises et les organismes publics devront aussi nommer un délégué à la protection des données ou «Data Protection Officer (DPO)». Le DPO est un acteur clé au sein de la gouvernance de l’organisation, ayant notamment pour mission d’informer, conseiller, contrôler le respect du RGPD et de permettre le dialogue avec l’autorité de contrôle (la Commission Nationale pour la Protection des Données au Luxembourg).
Devant l’ampleur de la tâche, quel est l’état d’esprit des acteurs de la place ?
Dans la mesure où les sanctions peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, je dirais qu’il est plutôt à la crainte. Certains observent la concurrence pour repérer si des démarches de conformité sont déjà mises en place et d’autres tentent de savoir si des sanctions toucheront leur secteur d’activités. Mais il ne faut pas oublier que la CNPD peut également imposer des mesures correctrices, comme par exemple ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement.
Et parmi les bons élèves…
MGSI remplira le rôle de DPO pour la Chambre des Députés et accompagne plusieurs organisations et entreprises, notamment Luxair Group et Post Group dans leur mise en conformité.
Quelles sont les principales étapes d’une mise en conformité ?
Le 25 mai étant à nos portes, la priorité est donc d’analyser votre obligation de nommer ou non un DPO, de définir son rôle et ses responsabilités au sein de l’entreprise conformément au RGPD.
Ensuite, il est nécessaire de procéder à un inventaire des traitements de données à caractère personnel effectués au sein de chaque service/département de l’entreprise : cette démarche permet d’avoir une vue d’ensemble pour procéder à une analyse d’écarts avec le RGPD et prioriser les actions à mettre en œuvre pour la mise en conformité.
Par la suite, il est essentiel de mettre en place des procédures permettant aux individus d’exercer leurs droits, d’identifier les sous-traitants et revoir les contrats pour respecter les exigences du RGPD et bien entendu se former sur le sujet, notamment en assistant aux différentes formations offertes par MGSI. Il faut veiller à mettre en place des mesures de sécurité appropriées en prenant en compte notamment, la nature des données.
Les données de catégories particulières, dites «sensibles» requièrent de plus grandes précautions…
Le RGPD entend par «données de catégories particulières» toutes données qui renseignent notamment les origines ethniques ou raciales, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, le traitement de ces données est interdit, sauf exceptions, par exemple, si la personne concernée a donné son consentement explicite.
Comment pourrait-on présenter MGSI?
C’est une équipe d’experts multidisciplinaires, spécialisée en protection des données et en sécurité de l’information dont la mission est d’accompagner les organisations dans leur mise en conformité avec les exigences du RGPD. Nous sommes un partenaire officiel de l’IAPP (International Association of Privacy Professionals) et donnons des formations de deux jours pour les certifications CIPP/E et CIPM. Nous offrons également des formations de deux jours permettant de prendre connaissance des éléments clés du RGPD afin de mettre en place une démarche de conformité au sein des entreprises et organismes.
MGSI peut dès lors former et assister les DPO internes, ou bien être mandatée en qualité de DPO externe. Son expertise inclut les spécificités juridiques, organisationnelles, techniques et de sécurité selon les secteurs d’activités, et ce, dans le respect des principes d’indépendance et d’absence totale de conflit d’intérêt.
Pour plus d’informations, MGSI organise un événement sur la protection des données les 29 et 30 mai : rdv sur www.ldpd.lu