Le Règlement sur la protection générale des données de l’UE (RGPD) est en vigueur depuis environ deux ans, et nous commençons à comprendre son fonctionnement. On l’impose maintenant à toutes les entreprises exerçant des activités dans l’UE et ailleurs alors que d’autres pays adoptent le modèle du RGPD. Si vous ne faites rien pour respecter le RGPD, ne soyez pas surpris si vous attirez l’attention des organismes de réglementation. Examinons ce qu’on entend par l’application du RGPD.

À qui s’attaquent-ils?

À peu près tout le monde est concerné. Si vous faites affaire dans l’UE, vous pourriez être leur cible. British Airways, les hôpitaux, les détaillants et même les écoles publiques et les cafés Internet  ou autres entreprises familiales  font partie leurs cibles. Peu importe la taille de votre entreprise ou votre présence internationale, ne vous imaginez pas un instant que vous êtes dispensé de l’exigence de conformité ou d’application. Oui, ils s’attaquent à des géants, par exemple à Google et Facebook, mais leur stratégie consiste à cibler un large échantillon simplement pour vous garder sur le qui-vive. Peu importe votre entreprise, la taille de celle-ci et votre secteur d’activité, vous pourriez être la prochaine victime.

À quel moment peuvent-ils se prendre à vous?

Les plaintes des citoyens sont l’un des volets du RGPD, mais aucune plainte n’est nécessaire pour lancer une enquête. Les autorités nationales en matière de confidentialité des données (Data Privacy Authorities, DPA) ciblent un échantillon d’entreprises en 1) vérifiant si un calendrier de conservation est appliqué et 2) en vérifiant les systèmes électroniques pour s’assurer que le calendrier est intégré. Les autorités en matière de confidentialité des données ont le droit de faire ces vérifications; en fait, elles peuvent faire à peu près tout ce qu’elles souhaitent. Ceci signifie que si vous attirez leur attention, tous les coups sont permis.

En quoi consiste une violation?

C’est à elles d’en établir la définition. Une autorité nationale en matière de confidentialité des données n’est liée par aucun règlement ni aucune ligne directrice, et exerce une autorité absolue concernant l’application des lois dans son secteur d’activité. Les mesures d’application actuelles vont de l’approbation d’une pratique en passant par des amendes très élevées, selon la taille et la valeur de l’entreprise. Il est intéressant de noter toutefois que le montant des pénalités est proportionnel : il est suffisamment élevé pour vous nuire, mais il est établi en fonction de l’absence ou de la réalisation d’efforts que vous faites pour respecter le Règlement, selon ce qu’en juge l’autorité en matière de confidentialité des données. Si l’autorité en matière de confidentialité des données juge que vous faites des efforts pour respecter le Règlement, elle prendra la décision qu’elle juge la meilleure.

Il vaut donc la peine de faire des efforts pour respecter le RGPD, même si les résultats ne sont pas parfaits, afin de réduire les pénalités qui pourraient vous être imposées. Et si vous ne prenez pas de mesures pour respecter le RGPD, vous en subirez certainement les conséquences! Rappel : les outils sur lesquels ces autorités s’appuient pour évaluer votre conformité sont souvent vos politiques et votre calendrier de conservation. Vous êtes en quelque sorte le maître de votre destin ici.

Que pouvez-vous faire?

Évitez d’attirer l’attention. La conformité au RGPD se résume en quelques habitudes de gestion des dossiers très simples :

  • Ne recueillez uniquement les informations dont vous avez réellement besoin. Si vous recueillez des informations d’identification personnelles dont vous n’avez pas besoin, vous vous exposez à un risque inutile. Un conseiller en gouvernance de l’information pourrait vous aider à savoir ce qu’il est nécessaire de recueillir et à quel moment.
  • Sachez où se trouvent vos données et où les répertorier. Si vous ne savez pas où les informations sont sauvegardées, il vous sera impossible de les gérer efficacement. Votre politique de gestion des informations doit aider les utilisateurs finaux à stocker les informations correctement. Cela signifie qu’il faut intégrer une solution de gestion de documents pour faire la saisie et la classification automatique des métadonnées.
  • Détruisez rapidement les données une fois que vous n’en avez plus besoin.Aucune structure de gestion des informations n’est efficace sans processus de disposition claire et défendable. Assurez-vous que vos calendriers de conservation sont complets et respectés : ils serviront de piste de vérification complète si vous devez défendre votre entreprise si vous attirez l’attention des autorités. Plus longtemps vous conservez des informations inutilement, plus vous vous exposez à des risques.

Tout est une question de bonne gestion des données et d’un calendrier de conservation dûment respecté. C’est ce que vous auriez dû faire depuis le début, et maintenant vous avez une raison encore plus importante de le faire.

Access fournit des services en gestion de l’information aux entreprises du Québec et du Canada. Pour plus d’information, veuillez remplir le formulaire sur cette page.