En mai 2018, le nouveau Règlement Général sur la Protection des Données (RGPD ou General Data Protection Regulation ou GDPR en anglais) entrera en vigueur. Ce texte supranational engage les entreprises et administrations à être vigilantes, respectueuses et sérieuses quant à la collecte et à l’exploitation des données personnelles.
Nous avons décidé de vous en parler car les organismes de formations sont aussi concernés et, si ce n’est pas déjà fait, devront être « compliant » avec ledit règlement.
Est-ce que le RGPD me concerne ?
Excellente question ! La réforme s’adresse aux entreprises privées ou administrations publiques – au sens large – qui traitent, manipulent, gèrent ou stockent des données personnelles… Alors autant vous dire que cela fait beaucoup de monde, dont votre organisme, sans aucun doute.
Qu’est-ce que le RGPD change ?
Pour ne vous citer que deux exemples, la prochaine réglementation demandera aux entreprises de s’assurer du consentement éclairé, et clair, des individus quant à la collecte de leurs données, à l’utilisation de ces dernières ainsi qu’à leur durée de conservation. Ces entreprises devront pouvoir prouver qu’elles ont bien obtenu le consentement de la personne. Terminé, donc, les boutons déjà cochés et cachés dans les bas de page, avec des souscriptions automatiques à telle ou telle liste. Terminé également, l’utilisation d’un ensemble de données personnelles recueillies dans une finalité X pour une finalité Y qui n’était pas annoncé dès le départ. Récolter des adresses e-mail dans le cadre exclusif de la mise à disposition d’un livre blanc pourrait ne pas vous autoriser à utiliser ces adresses dans le cadre d’un démarchage, par exemple.
Une obligation de sécurisation des données « by design »
Pour votre serviteur, particulièrement sensibilisé à la sécurité informatique et à celle des données, cette nouvelle est excellente : il faudra, dès les premières réflexions d’un projet, intégrer la dimension sécurité. La reforme demande en effet à ce que les données soient à tout moment, et en tous lieux, sécurisées contre les risques de perte, de vol, de divulgation ou tout autre chose dans le même style.
Dans de trop nombreuses configurations, la sécurité n’intervient qu’en toute fin de projet, une fois les échanges terminés, elle n’est pas forcément intégrée dans des boucles d’échanges avec des directions transverses, ce qui n’est pas sans poser un certain nombre de problèmes.
Et les OF dans tout ça ?
Les organismes de formation gèrent énormément de données personnelles, via les demandes de formation, les listing de clients, les contacts avec les organismes relatifs à la formation professionnelle, etc. Il apparaît donc logique qu’ils soient concernés par le prochain règlement et devront, d’ici à mai 2018, être en conformité avec ce dernier.
Si vous ne vous êtes pas encore intéressé à ce règlement, c’est le moment, car mai 2018, c’est très bientôt. Sans entrer dans tout le travail de mise en conformité, il vous faudra :
- Etablir une carte des données que vous collectez,
- Savoir ce que vous faites de ces dernières, quelles sont les finalités de la ou des collectes?
- Comment ces données sont-elles stockées ? Est-ce que ce stockage est sécurisé ?
- Les entreprises tierces avec lesquelles vous travaillez, sont-elles également en conformité avec le prochain règlement ?
- Est-ce que vous travaillez avec une entreprise hors zone Europe ? Que transmettez-vous à ces dernières ?
La CNIL met à votre disposition un guide pour vous préparer à l’arrivée du règlement, et le site de l’administration est une précieuse mine d’informations. Quant à ce dernier, n’hésitez donc pas à le consulter !
Sur le sujet, des centaines d’articles existent et traitent du RGPD, certains sont très détaillés, d’autres moins. Si vous ne savez pas où lire, référez-vous aux documents officiels, à nouveau, la CNIL est une excellente source d’informations sûres.