Depuis mai 2018, le Règlement Général de Protection des Données ou RGPD est entré en vigueur sur l’ensemble du territoire de l’Union européenne. Ce texte prévoit que chaque citoyen doit pouvoir exercer un contrôle sur l’ensemble des informations qui le concernent et sont collectées et utilisées par des tiers, telles que les entreprises ou administrations. L’objectif est que chacun puisse décider du présent et du futur des données transmises volontairement et choisir de les modifier ou de les faire modifier, de les supprimer ou de les faire supprimer. Nous allons voir ici ce que risquent les entreprises qui ne se conformeraient pas audit règlement et quelles solutions s’offrent à elles.
La non-conformité avec le RGPD : définition des actions à mener
La mise en conformité ou le fait de corriger la non-conformité d’une entreprise avec le RGPD implique un certain nombre d’actions. La première est de prendre le sujet sérieusement en appliquant l’ensemble des directives et les bonnes pratiques édictées. La seconde est de s’organiser en interne pour traiter un sujet lorsque des données personnelles sont manipulées, avec, notamment, un référent en charge de cette question et la communication d’un moyen pour le joindre et le solliciter.
Les entreprises demandant, collectant et compilant des données à caractère personnel telles que le nom, le prénom, l’adresse email nominative, doivent signifier de manière explicite et complète dans quel but cela est fait. Elles doivent également préciser comment ces données sont stockées et conservées, et pour quelle durée. Enfin, elles signaleront aux personnes concernées par ces données, qu’elles sont en droit d’y apporter des corrections ou de demander leur suppression définitive, en passant par exemple par un site comme https://www.destruction-de-documents-confidentiels.fr.
Ne pas mettre en place les processus permettant de faire respecter ces obligations expose les entreprises concernées à de lourdes amendes pouvant atteindre plusieurs millions d’euros.
RGPD : ce qui doit être fait des données lorsque leurs propriétaires le décident
Le fait de certifier aux utilisateurs, aux abonnés, clients ou autres, qu’ils restent bien propriétaires de leurs données et que ces dernières sont utilisées à des fins précises et détaillées, à bon escient, est une première chose. Le fait de lutter contre l’usurpation d’identité possible en exploitant les données collectées en est une deuxième. L’usurpation d’identité est justement constituée d’un usage frauduleux et non prévu par son propriétaire, de ses informations personnelles, à son insu.
Toutes les données permettant d’identifier directement ou indirectement, de façons dématérialisées ou physiques, devront pouvoir être localisées et détruites au besoin, sans laisser de traces exploitables. Ainsi, les données ne doivent pas pouvoir être reconstituées ou recoupées avec d’autres et permettre d’identifier les personnes. Pour cela, le fait de les jeter simplement à la poubelle est à proscrire. C’est la destruction qui doit être mise en œuvre. Cela vaut pour les formats papier et électronique, quel que soit le support digital qui contient ces données : du disque dur au CD-Rom de sauvegarde, en passant par les clés de type USB : tout doit, le cas échéant, pouvoir être entièrement détruit.