Préparation concrète

Sept étapes pour protéger les données de son entreprise

23 Août 2017 Par Jonas Mercier
Ordinateur RGPD
Les entreprises vont devoir assurer à chaque instant qu’elles respectent les nouvelles règles et être en mesure de le démontrer en documentant leur conformité, rappelle la CNDP. (Photo: Licence C.C.)

La Commission nationale pour la protection des données (CNPD) propose dans un document destiné aux entreprises sept étapes à suivre pour anticiper l’arrivée du nouveau Règlement général sur la protection des données (RGPD).

C’est une approche pédagogique qu’a choisie la CNPD pour rappeler aux entreprises luxembourgeoises de s’y prendre à temps pour se mettre en conformité avec le nouveau régime de traitement des données personnelles.

On peut ainsi trouver sur le site internet de l’institution un guide de préparation en sept étapes. Mis en ligne début août, celui-ci rappelle en introduction que si «les formalités préalables seront limitées au maximum (…), les organismes seront davantage responsabilisés». En d’autres termes, les entreprises vont devoir assurer à chaque instant qu’elles respectent les nouvelles règles et être en mesure de le démontrer en documentant leur conformité.

Les sept étapes proposées et développées par la CNPD sont:

  1. S’informer sur les changements à venir;
  2. Identifier ses traitements de données personnelles;
  3. Désigner un délégué à la protection des données (si applicable);
  4. Établir un plan d’action;
  5. Identifier et gérer les risques;
  6. Organiser les processus internes;
  7. Documenter la conformité.

La transposition des nouvelles dispositions européennes en matière de protection des données à caractère personnel est en cours au Luxembourg. Un premier projet de loi pour son application dans le domaine judiciaire et de la sécurité nationale a été déposé la semaine dernière. Un second, qui concernera cette fois les entreprises, devrait être présenté cet automne.

Mais celui-ci est plus ou moins déjà connu puisqu’il reprendra en grande partie la directive européenne 2016/679. Son entrée en vigueur devra être effective au plus tard le 25 mai 2018.

D’ici là, les entreprises ont intérêt à suivre les conseils de la CNPD et anticiper. En effet, en cas de non-respect, la législation prévoit une amende pouvant aller jusqu’à 4% du chiffre d’affaires global ou 20 millions d’euros.