Le Règlement sur la protection générale des données de l’UE (RGPD) est en vigueur depuis environ deux ans, et nous commençons à comprendre son fonctionnement. On l’impose maintenant à toutes les entreprises exerçant des activités dans l’UE et ailleurs alors que d’autres pays adoptent le modèle du RGPD. Si vous ne faites rien pour respecter le RGPD, ne soyez pas surpris si vous attirez l’attention des organismes de réglementation. Examinons ce qu’on entend par l’application du RGPD.
À peu près tout le monde est concerné. Si vous faites affaire dans l’UE, vous pourriez être leur cible. British Airways, les hôpitaux, les détaillants et même les écoles publiques et les cafés Internet ou autres entreprises familiales font partie leurs cibles. Peu importe la taille de votre entreprise ou votre présence internationale, ne vous imaginez pas un instant que vous êtes dispensé de l’exigence de conformité ou d’application. Oui, ils s’attaquent à des géants, par exemple à Google et Facebook, mais leur stratégie consiste à cibler un large échantillon simplement pour vous garder sur le qui-vive. Peu importe votre entreprise, la taille de celle-ci et votre secteur d’activité, vous pourriez être la prochaine victime.
Les plaintes des citoyens sont l’un des volets du RGPD, mais aucune plainte n’est nécessaire pour lancer une enquête. Les autorités nationales en matière de confidentialité des données (Data Privacy Authorities, DPA) ciblent un échantillon d’entreprises en 1) vérifiant si un calendrier de conservation est appliqué et 2) en vérifiant les systèmes électroniques pour s’assurer que le calendrier est intégré. Les autorités en matière de confidentialité des données ont le droit de faire ces vérifications; en fait, elles peuvent faire à peu près tout ce qu’elles souhaitent. Ceci signifie que si vous attirez leur attention, tous les coups sont permis.
C’est à elles d’en établir la définition. Une autorité nationale en matière de confidentialité des données n’est liée par aucun règlement ni aucune ligne directrice, et exerce une autorité absolue concernant l’application des lois dans son secteur d’activité. Les mesures d’application actuelles vont de l’approbation d’une pratique en passant par des amendes très élevées, selon la taille et la valeur de l’entreprise. Il est intéressant de noter toutefois que le montant des pénalités est proportionnel : il est suffisamment élevé pour vous nuire, mais il est établi en fonction de l’absence ou de la réalisation d’efforts que vous faites pour respecter le Règlement, selon ce qu’en juge l’autorité en matière de confidentialité des données. Si l’autorité en matière de confidentialité des données juge que vous faites des efforts pour respecter le Règlement, elle prendra la décision qu’elle juge la meilleure.
Il vaut donc la peine de faire des efforts pour respecter le RGPD, même si les résultats ne sont pas parfaits, afin de réduire les pénalités qui pourraient vous être imposées. Et si vous ne prenez pas de mesures pour respecter le RGPD, vous en subirez certainement les conséquences! Rappel : les outils sur lesquels ces autorités s’appuient pour évaluer votre conformité sont souvent vos politiques et votre calendrier de conservation. Vous êtes en quelque sorte le maître de votre destin ici.
Évitez d’attirer l’attention. La conformité au RGPD se résume en quelques habitudes de gestion des dossiers très simples :
Tout est une question de bonne gestion des données et d’un calendrier de conservation dûment respecté. C’est ce que vous auriez dû faire depuis le début, et maintenant vous avez une raison encore plus importante de le faire.
Access fournit des services en gestion de l’information aux entreprises du Québec et du Canada. Pour plus d’information, veuillez remplir le formulaire sur cette page.
Share