Le Règlement général sur la protection des données (RGPD) a été appelé le plus important chambardement associé à la façon dont les données des particuliers peuvent être stockées.
Le RGPD va au-delà des mesures de protection actuelles des données et touche les entreprises de toute taille : des commerçants indépendants jusqu’aux grandes entreprises. Une étude menée par Sage révèle que 91% des entreprises canadiennes font preuve d’un manque de connaissance entourant le RGPD, alors que 84% ne mesurent pas l’impact du RGPD sur leur entreprise.
Pas étonnant que les entreprises aient plusieurs questions relatives au RGPD : de la façon dont il devrait être mis en œuvre à la façon dont il aura un impact sur leurs activités quotidiennes.
Voici les réponses à certaines questions fréquemment posées. Vous avez d’autres questions? Faites-nous part de vos commentaires ci-dessous afin d’effectuer une future mise à jour de ce règlement.
-
Mon entreprise n’est pas basée dans l’UE. Y aura-t-il un impact?
Le RGPD touche toute entreprise à travers le monde qui traite les données des particuliers dans l’UE. Notre étude révèle que 13% des entreprises canadiennes ont présentement des bureaux, employés, clients, et/ou fournisseurs basés dans l’UE. En fait, si vous offrez des biens ou services aux particuliers dans l’UE ou surveillez leur façon de traiter les données, vous devrez sans doute retenir les services d’un représentant dans l’UE pour gérer les questions sur le RGPD.
De plus, vous devez communiquer avec la bonne organisation gouvernementale autorisée par écrit. Plusieurs parties tierces sont déjà spécialisées dans la gestion de ce type de problème. À tout le moins, vous pouvez vous renseigner pour déterminer quelles exigences sont applicables à votre entreprise.
Avant l’application du RGPD, il est difficile de prédire les conséquences pour les entreprises basées à l’extérieur de l’UE qui contreviennent au RGPD, mais elles pourraient inclure l’interdiction d’effectuer des transactions dans l’UE jusqu’à ce que les entreprises soient conformes, ce qui pourrait prendre du temps. Et cela pourrait non seulement avoir un impact sur les ventes, mais également sur les fournisseurs, et au bout du compte, cela pourrait avoir un effet dévastateur.
-
Mon entreprise doit-elle devenir «RGPD certifié»?
Non. Le libellé du RGPD ne spécifie ni mandate un système de certification, mais il encourage une certification volontaire par les entités industrielles ou organisations conformes au RSSI/CEI 17065/2012, une norme internationalement reconnue.
On incite à devenir RGPD certifié, car il offre des garanties relatives aux mesures de sécurité techniques et organisationnelles, entre autres, cela est important pour les tiers qui traitent les données pour le compte des autres.
-
Quelle est la date limite pour le RGPD?
Le RGPD entrera en vigueur le 25 mai 2018. Il n’y aura pas de période de grâce ou de chevauchement pour votre entreprise à ce moment-là, alors assurez-vous d’être prêt.
-
Mon entreprise fera-t-elle l’objet de vérifications ou d’inspections?
Il n’existe pas de règles dans le RGPD pour exiger des vérifications ou inspections gouvernementales. Cependant, les autorités de surveillance ont le droit de procéder à des vérifications dans le cadre de leurs pouvoirs d’enquête. Par contre, cela ne veut pas dire que les vérifications ou inspections auto-imposées ne sont pas une bonne idée ou même une exigence de facto pour être conforme au RGPD.
Concernant les tiers qui offrent des services de traitement des données, la situation est un peu plus compliquée. Ils devront fournir toutes les informations nécessaires à l’entreprise qui les emploie, afin de démontrer la conformité de leurs obligations en vertu du RGPD. Ils doivent également autoriser et participer aux vérifications, y compris les inspections auxquelles l’entreprise les mandate.
Cependant, le RGPD ne présente pas de nouvelles règles importantes et onéreuses en regard à la tenue des dossiers pour toutes les entreprises. Il ne suffit pas de simplement se conformer au RGPD. Les entreprises doivent être en mesure de prouver qu’elles le sont.
Prenez note qu’il est possible que les gouvernements pourraient mettre en oeuvre des processus de vérification officiels et réguliers lors de l’introduction du RGPD dans les droits nationaux.
-
Je suis un entrepreneur indépendant, le RGPD a-t-il un impact sur mon entreprise?
Oui. Le RGPD a un impact sur toute personne ou toute chose impliquée dans une activité économique et qui traite des données personnelles, et même des organisations, telles que les partenariats, les organismes de charité ou clubs/sociétés. Peu importe si cette entité est reconnue légalement ou pas.
-
Les produits de Sage sont-ils prêts pour le RGPD?
Sage s’assure que tous ses produits en cours sont prêts pour le RGPD. Sage conseille aux utilisateurs d’utiliser les plus récentes versions de logiciel.
Plus précisément, afin d’aider les organisations à se conformer à leurs obligations RGPD, Sage peut continuer à apporter des améliorations supplémentaires, et aviser les clients d’être à l’affût de la plus récente version disponible et d’installer les mises à jour, au besoin. Les clients qui utilisent des produits infonuagiques, tels que ceux faisant partie de Sage Business Cloud, en tireront parti puisqu’ils utilisent les plus récentes versions du logiciel.
-
Bref, de quelle façon le RGPD diffère-t-il d’une réglementation sur la protection des données?
À vrai dire, les différences sont tellement grandes qu’il est impossible de formuler une réponse rapide. Règlement général sur la protection des données Le Guide de mise en route rapide de Sage pour les entreprises donne un aperçu lisible et concis.
-
Quelles sont les conséquences si on ne suit pas le protocole du RGPD?
Vous pourriez écoper d’une amende pouvant atteindre jusqu’à 4% de votre chiffre d’affaires annuel global. Surtout, il est possible d’enfreindre le RGPD sans subir une perte réelle de données.
-
Combien le RGPD me coûtera-t-il?
Les frais pour une moyenne entreprise incluront certains éléments suivants sinon tous les éléments qui suivent :
Les vérifications de tous les processus dans tous les départements seront effectuées par une personne qualifiée ou une entreprise
Les modifications, telles que le recyclage du personnel et les adaptations des technologies de l’information
La nomination et la formation pour un responsable de la protection des données (RPD, voir Q9 ci-après)
L’établissement et le maintien des processus de documentation continuels pour montrer la conformité au RGPD
Les frais de certification volontaires, surtout si votre entreprise traite des données pour le compte d’autres entreprises (voir Q1 et Q3 ci-dessus, n’oubliez pas d’utiliser seulement des entités de certification qui sont conformes à EN RSSI/CEI 17065/2012 et qui ont été autorisées par des autorités de surveillance pertinentes).
-
Devrai-je nommer un responsable de la protection des données (RPD) ?
Certains types d’entreprises devront le faire. Les exemples incluent ce qui suit : si votre entreprise est une autorité publique ou vos activités de base comportent le suivi des individus à grande échelle (y compris le profilage), ou si vous gérez des données dans des catégories spéciales, telles que des données médicales ou des données relatives à des condamnations pénales et des infractions.
Le responsable de la protection des données pourrait être un employé existant ou vous pourriez recourir à la sous-traitance, mais vous devrez transmettre les renseignements sur la personne à la personne-ressource du gouvernement et cette personne devra également suivre une formation
Prochaine lecture recommandée
Les indicateurs de performance sont-ils vraiment utiles à votre entreprise?
Abonnez-vous à l’infolettre de Sage Advice
Abonnez-vous à l’infolettre de Sage Advice et recevez, directement dans votre boîte courriel, nos tous derniers conseils.
