Règlement général sur la protection des données
Le Règlement Général sur la Protection des Données (« RGPD ») du 13 Octobre 2017 sera applicable à partir du 25 Mai 2018 et aura notamment vocation à s’appliquer à toutes les entreprises qui collectent, conservent ou traitent des données à caractère personnel (y compris les sites de e-commerce). Le RGPD a notamment pour objet de définir les responsabilités des entreprises qui collectent et conservent des données à caractère personnel et régir les traitements mis en place par ces entreprises pour gérer ces données.
SAGE travaille activement sur sa stratégie de mise en œuvre du RGPD. Elle a notamment affecté une équipe dédiée dont la composition a été supervisée par l’approbation de sa Direction. Elle a également mis en place des procédures de gouvernance rigoureuses pour la gestion la mise en œuvre du RGPD au sein de SAGE, par exemple en créant un Comité de Gouvernance des Données composé de représentants de l’ensemble des activités de SAGE afin de s’assurer que chaque intervenant de SAGE soit prêt dès le 25 mai 2018.
Dans ce cadre
- SAGE a déployé un programme complet de formation au RGPD. Ce programme est destiné à l’ensemble de ses employés et a pour objet de s’assurer de leur compréhension des fondamentaux de la réglementation afférente à la protection des données personnelles, de leur permettre de comprendre leur nature et leur importance, de leur apprendre à répondre aux demandes d'accès et à déceler et signaler toute violation dont ils pourraient avoir connaissance
- La politique interne de protection des données personnelles de SAGE exige que tout nouveau produit et processus associé aux données personnelles soit soumis, avant lancement, à une étude d’impact sur la vie privée (EIVP). L’objectif est d’anticiper et de minimiser les risques liés à la confidentialité et de prévenir tout comportement intrusif. Cet EIVP sera si nécessaire mis à la disposition des clients
- SAGE a établi une politique de signalement des incidents ainsi que diverses procédures, sous la responsabilité de l’équipe de gestion des risques, permettant ainsi une évaluation constante et une politique d’alerte (le cas échéant) des incidents. Cette politique comprend dans son périmètre la problématique des données personnelles.
- Parmi les priorités de SAGE dans l’élaboration de son programme de conformité figure le suivi de ses obligations relatives au RGPD, et notamment le recueil des consentements, les politiques de confidentialité, les processus d’enregistrement et l’évaluation des facteurs relatifs à la vie privée. Ce programme est placé sous la responsabilité de SAGE Compliance. Ce dernier procède à des examens réguliers de conformité, à des revues et mises à jour des procédures en place sur la protection des données de l’ensemble du Groupe SAGE et au déploiement de formations ayant pour objet la sécurité de l’information et des programmes de sensibilisation.
- SAGE a également mise en place des procédures et des formations sur comment reconnaître et comment répondre aux demandes d’accès aux données, des campagnes d’information sur l’importance des contrôles d’identité, des procédures sur comment répondre aux demandes de transfert, de rectification et de suppression des données personnelles.
- La Direction Juridique de SAGE a mis en œuvre une série de conventions intra-groupe portant sur le traitement et les transferts de données personnelles. Ces conventions ont été mises en œuvre en conformité avec les dispositions du RGPD et intègrent les clauses contractuelles types adoptées par la Commission Européenne en matière de transfert de données personnelles en dehors de l’Union Européenne. Ces conventions facilitent les transferts de données personnelles au sein du Groupe SAGE et garantissent que l’ensemble des traitements mis en œuvre sont conformes aux dispositions du RGPD.
En complément, SAGE a conscience que ses logicielles et les services associés peuvent faire partie des contrôles et des traitements spécifiques que ses entreprises clientes vont devoir mettre en œuvre pour le suivi de leurs propres obligations relatives au RGPD. Afin d’accompagner ses clients dans cette démarche, SAGE a lancé une action de révision de l’ensemble de ses solutions et de leur documentation utilisateur respective. A ce titre, des mises à jour seront prochainement disponibles afin que nos clients puissent les intégrer à leur propre plan de conformité.
Les clients peuvent également se tourner vers leurs propres conseils pour toute question d’ordre juridique relative aux implications du RGPD sur leur activité. La Commission européenne et la Commission Nationale de l’Informatique et des Libertés (CNIL) ont également déjà publié des Directives relatives au RGPD. Les entreprises peuvent consulter le site de la CNIL, et notamment l’article « Règlement européen : se préparer en 6 étapes ».