Comment le règlement général sur la protection des données (rgpd) contribue à améliorer les politiques et les processus de records management

Blogs et articles

Le règlement général sur la protection des données (RGPD) a obligé de nombreuses entreprises à revoir leur façon de collecter, stocker et gérer les données afin d’être en conformité.

10 juin 20217 mins
Iron Mountain logo with blue mountains

Le règlement général sur la protection des données (RGPD) a obligé de nombreuses entreprises à revoir leur façon de collecter, stocker et gérer les données afin d’être en conformité. Toutefois, le RGPD exige non seulement l’adoption de nouvelles politiques pour garantir la conformité, mais aussi de pouvoir démontrer les mesures mises en place. En vertu du principe de responsabilisation, vous devez également passer en revue et, le cas échéant, actualiser ces politiques.

Le spectre d’une amende de plus de 20 millions d’euros dans le cadre du Règlement général de l’Union européenne sur la protection des données (RGPD) est une bonne motivation pour mettre à jour et renforcer périodiquement les politiques de votre entreprise en matière de Records Management. 

Depuis l’entrée en vigueur du RGPD en mai 2018, les actions coercitives et les recommandations réglementaires ont facilité la compréhension des concepts du RGPD. En d’autres termes, désormais nous comprenons certainement mieux comment les règles du RGPD sont interprétées par les tribunaux et les autorités chargées de protéger les données. Quelle incidence ce règlement sur la protection des données a-t-il sur les politiques et procédures de gestion de l’information ? Elles sont nombreuses et c’est a priori une bonne chose. Le RGPD ne s’applique pas seulement aux entreprises de l’UE, mais aussi aux entités extérieures à l'espace européen, dont le Royaume-Uni ainsi que tous les autres pays et régions qui fournissent des biens et des services aux ressortissants de l’UE. Il concerne également toutes les entreprises qui observent le comportement en ligne des personnes résidant dans l’UE et qui visitent leur site.

À la fois les responsables du traitement, c'est-à-dire les entreprises qui dirigent le traitement des données personnelles et précisent les raisons de sa collecte, et les sous-traitants de données (à savoir les entreprises qui agissent selon les instructions des responsables du traitement) sont soumis au RGPD, mais leurs responsabilités sont forcément différentes. En réalité, toutes les entreprises ou presque qui opèrent via le Web doivent veiller à ce que leurs politiques et procédures de gestion de l’information soient conformes au RGPD. 

L’adoption des exigences du RGPD était, à vrai dire, un peu tardive compte tenu du nombre de violations vastes et embarrassantes de données sensibles subies par les petites et grandes entreprises avant l'entrée en vigueur du RGPD. Celles qui ont l’intention de se ressaisir en matière de protection des données disposent désormais d'un fil conducteur et de toutes les recommandations nécessaires pour se lancer. 

Alors, par quoi commencer ? Si elles ne l’ont pas encore fait, les entreprises doivent évaluer leurs procédures de collecte de données en se référant au consentement des personnes quant à la collecte de leurs informations personnelles et autres textes juridiques relatifs au sujet. Réfléchissez à la manière dont ces données, et particulièrement les informations les plus sensibles, sont traitées, stockées puis supprimées.

Le RGPD stipule que les entreprises ne doivent pas conserver les données plus longtemps que nécessaire à leur traitement. Les politiques et procédures de Records Management doivent donc être actualisées afin de veiller à ce que les données soient recueillies, protégées, traitées, conservées et éliminées selon les critères du règlement européen sur la protection des données.
Mettre à jour les politiques et les processus de Records Management pour se conformer au RGPD demande du travail. Mais cet investissement est moins douloureux qu’une violation de données embarrassante et dommageable, ou qu'une amende pouvant atteindre 20 millions d’euros... Enfin, le RGPD a soulevé un problème universel, à savoir celui de la conservation des données privées que nous collectons et utilisons. Il nous a également incité à protéger non seulement nos clients et partenaires commerciaux, mais nos propres entreprises aussi.

De plus, le RGPD a également conduit à la création de lois toujours plus nombreuses en matière de protection de la vie privée. Des réglementations similaires concernant les données personnelles et privées ont vu le jour partout dans le monde, que ce soit la Loi sur la protection des données personnelles des consommateurs résidant en Californie (CCPA) de 2018 ou, plus récemment, la Loi californienne sur le droit à la vie privée (CPRA) de 2020. Cette tendance est mondiale comme le confirme notamment la Loi de 2020 sur la protection des données en Afrique du Sud (POPIA). 

Avec l’augmentation des volumes et des nouveaux formats de données et vu la manière dont les personnes et les entreprises utilisent les données, les réglementations en matière de protection de la vie privée continueront d'évoluer à travers le monde au cours des prochaines années.

Le spectre d’une amende de plus de 20 millions d’euros dans le cadre du Règlement général de l’Union européenne sur la protection des données (RGPD) est une bonne motivation pour mettre à jour et renforcer périodiquement les politiques de votre entreprise en matière de Records Management. 

Depuis l’entrée en vigueur du RGPD en mai 2018, les actions coercitives et les recommandations réglementaires ont facilité la compréhension des concepts du RGPD. En d’autres termes, désormais nous comprenons certainement mieux comment les règles du RGPD sont interprétées par les tribunaux et les autorités chargées de protéger les données. Quelle incidence ce règlement sur la protection des données a-t-il sur les politiques et procédures de gestion de l’information ? Elles sont nombreuses et c’est a priori une bonne chose. Le RGPD ne s’applique pas seulement aux entreprises de l’UE, mais aussi aux entités extérieures à l'espace européen, dont le Royaume-Uni ainsi que tous les autres pays et régions qui fournissent des biens et des services aux ressortissants de l’UE. Il concerne également toutes les entreprises qui observent le comportement en ligne des personnes résidant dans l’UE et qui visitent leur site.

À la fois les responsables du traitement, c'est-à-dire les entreprises qui dirigent le traitement des données personnelles et précisent les raisons de sa collecte, et les sous-traitants de données (à savoir les entreprises qui agissent selon les instructions des responsables du traitement) sont soumis au RGPD, mais leurs responsabilités sont forcément différentes. En réalité, toutes les entreprises ou presque qui opèrent via le Web doivent veiller à ce que leurs politiques et procédures de gestion de l’information soient conformes au RGPD. 

L’adoption des exigences du RGPD était, à vrai dire, un peu tardive compte tenu du nombre de violations vastes et embarrassantes de données sensibles subies par les petites et grandes entreprises avant l'entrée en vigueur du RGPD. Celles qui ont l’intention de se ressaisir en matière de protection des données disposent désormais d'un fil conducteur et de toutes les recommandations nécessaires pour se lancer. 

Alors, par quoi commencer ? Si elles ne l’ont pas encore fait, les entreprises doivent évaluer leurs procédures de collecte de données en se référant au consentement des personnes quant à la collecte de leurs informations personnelles et autres textes juridiques relatifs au sujet. Réfléchissez à la manière dont ces données, et particulièrement les informations les plus sensibles, sont traitées, stockées puis supprimées.

Le RGPD stipule que les entreprises ne doivent pas conserver les données plus longtemps que nécessaire à leur traitement. Les politiques et procédures de Records Management doivent donc être actualisées afin de veiller à ce que les données soient recueillies, protégées, traitées, conservées et éliminées selon les critères du règlement européen sur la protection des données.
Mettre à jour les politiques et les processus de Records Management pour se conformer au RGPD demande du travail. Mais cet investissement est moins douloureux qu’une violation de données embarrassante et dommageable, ou qu'une amende pouvant atteindre 20 millions d’euros... Enfin, le RGPD a soulevé un problème universel, à savoir celui de la conservation des données privées que nous collectons et utilisons. Il nous a également incité à protéger non seulement nos clients et partenaires commerciaux, mais nos propres entreprises aussi.

De plus, le RGPD a également conduit à la création de lois toujours plus nombreuses en matière de protection de la vie privée. Des réglementations similaires concernant les données personnelles et privées ont vu le jour partout dans le monde, que ce soit la Loi sur la protection des données personnelles des consommateurs résidant en Californie (CCPA) de 2018 ou, plus récemment, la Loi californienne sur le droit à la vie privée (CPRA) de 2020. Cette tendance est mondiale comme le confirme notamment la Loi de 2020 sur la protection des données en Afrique du Sud (POPIA). 

Avec l’augmentation des volumes et des nouveaux formats de données et vu la manière dont les personnes et les entreprises utilisent les données, les réglementations en matière de protection de la vie privée continueront d'évoluer à travers le monde au cours des prochaines années.

Elevate the power of your work

Profitez d'une consultation GRATUITE aujourd'hui !

Lancez-vous