Avez-vous entendu parler du GDPR ?

De nombreux propriétaires de petites entreprises ne savent toujours pas ce qu’est le règlement général sur la protection des données (RGPD) de l’UE. Vous avez peut-être entendu des rumeurs à son sujet, mais vous avez supposé qu’il ne vous concernerait pas, surtout à la lumière du Brexit. Et vous avez peut-être raison : selon la façon dont vous gérez votre entreprise, ce n’est peut-être pas si grave. Toutefois, compte tenu des lourdes amendes infligées à ceux qui ne sont pas conformes, vous ne pouvez pas vous permettre de ne pas faire vos recherches.

Attendez, c’est quoi le GDPR déjà ?

Le règlement général de l’UE sur la protection des données est une nouvelle loi qui entrera en vigueur le 25 mai 2018.

L’objectif de la loi est de donner aux citoyens de l’UE plus de contrôle sur la façon dont leurs données personnelles sont utilisées par les entreprises. Elle concernera toute personne qui collecte, stocke et utilise les données personnelles de ses employés, de ses fournisseurs et de ses clients. La mise en conformité sera obligatoire pour les entreprises de plus de 250 employés, mais si vous êtes une petite entreprise, ne sortez pas encore le champagne.

Toute entreprise qui traite régulièrement des données à caractère personnel (y compris des informations sur la santé, l’appartenance religieuse ou politique, l’orientation sexuelle et l’origine ethnique) devra continuer à se conformer.

Les entreprises devront désigner un délégué à la protection des données et s’engager à signaler toute perte de données à l’ICO (Information Commissioner’s Office) dans les 72 heures suivant la violation. Le consentement devra désormais être obtenu pour toute donnée personnelle que votre entreprise collectera, stockera ou utilisera et il sera illégal d’utiliser des données collectées précédemment si le consentement n’a pas été obtenu à l’époque.

Les risques de non-conformité.

Cette lourde amende mentionnée plus tôt ? C’est une grosse amende.

Toute personne reconnue coupable d’avoir enfreint la loi est passible d’une amende de 20 millions d’euros ou de 4 % de son chiffre d’affaires annuel, le montant le plus élevé étant retenu.

Attendez une minute. Et le Brexit ?

Il s’agit d’une loi européenne, donc le Brexit signifie sûrement que nous pouvons ignorer le GDPR après tout ?

En un mot, non.

La loi entrera en vigueur en mai 2018. Nous ne devrions pas quitter l’UE avant mars 2019, vous devrez donc vous mettre en conformité. Même après notre sortie officielle de l’UE, la loi protégera les données de tous les citoyens de l’UE, que les informations soient obtenues par une entreprise au sein de l’UE ou ailleurs. Le gouvernement britannique prévoit également de remplacer la loi de 1988 sur la protection des données (DPA) par une nouvelle réglementation, qui reprendra celle du GDPR.

Si vous ne savez pas par où commencer…

Il est clair qu’il s’agit d’un phénomène qui n’est pas prêt de disparaître, et qu’il est donc utile de mettre en place un plan d’action dès maintenant. Que devez-vous faire pour commencer ?

Faites vos recherches.

Votre premier port d’escale devrait être l’ICO, où vous pouvez vous enregistrer en tant que contrôleur de données et trouver plus d’informations sur les mesures que vous devez prendre pour vous conformer à la nouvelle loi.

Mettez à jour vos procédures.

Il est important que vous commenciez à examiner la manière dont vous obtenez actuellement des données personnelles et sollicitez le consentement. Examinez vos politiques de confidentialité et apportez les modifications nécessaires pour assurer la conformité au GDPR. Réfléchissez également à la manière dont vous procéderiez en cas de violation des données et formez votre personnel aux nouvelles procédures.

Vérifiez vos informations.

Cela peut prendre du temps, mais il faut le faire. La loi s’appliquant rétroactivement, toute donnée obtenue dans le passé ne peut être utilisée sans le consentement de l’intéressé. Vous devez donc effectuer un audit pour vous aider à déterminer où en sont vos dossiers actuels.

Mettez à jour votre sécurité.

Vous devez vous assurer que les données sont stockées en toute sécurité ; cela vaut aussi bien pour votre technologie que pour vos locaux.

Demandez-vous donc si vos pare-feu et vos logiciels anti-virus sont à jour. Est-ce que vous et votre personnel changez régulièrement vos mots de passe ? Sauvegardez-vous régulièrement vos données ? Avez-vous envisagé d’utiliser des programmes anti-spyware et de crypter les données personnelles ? Vos locaux sont-ils aussi sûrs qu’ils doivent l’être ? Les écrans de vos ordinateurs sont-ils orientés loin des fenêtres ? Déchiquetez-vous les vieux documents ?

À moins que vous n’ayez 20 millions d’euros en réserve au fond de votre canapé, en tant que propriétaire d’une petite entreprise, vous ne pouvez pas ignorer le GDPR.

Mais il ne faut pas non plus en avoir peur. Si vous agissez maintenant et commencez à mettre en œuvre certaines des idées que nous avons mentionnées ici, vous serez prêt bien à temps pour l’introduction des nouvelles réglementations.