A l’heure des moyens communication moderne, les entreprises recueillent et stockent un grand nombre d’information de type données personnelles. Dans un monde où l’information est devenue source de pouvoir, il est important pour les organismes régulateurs de contrôler la manière dont les entreprises et organisations collectent et exploitent ces donnés, pour éviter les abus, ainsi que les problématiques de sécurité et de vie privée.

C’est pourquoi le Parlement européen a adopté un nouveau projet de loi, nommé Règlement Général sur la Protection des Données ou General Data Protection Regulation (GDPR), et qui entrera en vigueur dans l’ensemble des états membres dès le 25 mai 2018. Nous vous proposons dans cette article une foire au questions pour répondre à vos éventuelles interrogation concernant le RGPD, ses impacts et les moyens de mise en conformité.

 

1/ Quelles sont les entreprises concernées par le RGPD ?

Le RGPD concerne toutes les entreprises qui propose une offre de biens de services visant des personnes sur le territoire de l’Union européenne ou qui disposent d’un établissement dans l’Union européenne, et ce :

  • quelle que soit leur taille,
  • quel que soit leur secteur d’activité,
  • quel que soit le lieu de stockage des données

Cependant toutes les entreprises ne sont pas soumises aux mêmes obligations. Ainsi, les entreprises de moins de 250 salariés font l’objet d’obligations allégées.

 

2/ Qu’est-ce qu’une données personnelle ?

Une donnée personnelle est une information susceptible de permettre l’identification d’une personne de manière directe ou indirecte. Voici des exemples de données considérées comme des données personnelles :

  • nom
  • prénom
  • numéro de téléphone
  • numéro de sécurité sociale
  • numéro d’Identification Nationale Étudiant (INE)
  • adresse
  • photographie
  • empreinte digitale
  • profession
  • sexe
  • âge
  • etc.

 

3/ RGPD : quelles obligations à respecter pour quelles entreprises ?

La majorité des obligations concernant le rgpd s’applique à toutes les structures.

Pour toutes les entreprises, il est nécessaire de mettre en place les points suivants :

  • Respecter le principe de protection des données personnelles et de la vie privée imposées par le Règlement, dès la conception de tout projet et par défaut,
  • Avoir une vision globale des traitements,
  • Être en mesure prouver que les traitements de données à caractère personnel mis en œuvre respectent les règles applicables,
  • S’assurer que les personnes sont informées de la durée de conservation des données, de l’existence de profilage, de leurs droits et des voies de recours disponibles et que ces informations sont présentées de manière claire et concise,
  • Permettre aux personnes dont les données sont traitées d’exercer leur droit à l’oubli, leur droit à la portabilité des données et leur droit de limitation,
  • Réaliser une étude d’impact sur la vie privée pour les traitements à risque,
  • En cas de violation de données à caractère personnel, envoyer une notification à la CNIL

Pour les entreprises de plus de 250 salariés :

  • recenser les traitements mis en œuvre dans un « Registre des traitements ».

Pour les Organismes publics, pour les entreprises dont l’activité principale amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou encore pour les organismes qui traitent des données dites « sensibles » ou relatives à des condamnations pénales et à des infractions :

  • Désigner un délégué à la protection des données (DPO)

4/ Quelles sont les sanctions encourues en cas de non respect du RGPD ?

En cas de non respect du RGPD, les sanctions infligées par la CNIL seront graduelles :

  • avertissement ou mise en demeure
  • limitation ou suspension des traitements de données
  • amende allant jusqu’à 2% du chiffre d’affaire pour défaut de tenue d’un registre des traitements, défaut d’étude d’impact sur la vie privée en cas de données sensibles, défaut d’annonce suite à une faille décelée, et problèmes de sécurité.
  • amende allant jusqu’à 4% du chiffre d’affaires pour défaut de consentement, traitements de données illégaux, non-respect des droits des personnes, manque de prudence lors des transferts transfrontaliers de données, ou encore refus d’obtempérer face aux injonctions de la CNIL.

5/ Comment mettre en oeuvre le RGPD ?

Pour mettre en oeuvre le RGPD, il faut :

  • Cartographier l’ensemble des processus de traitement des données de l’entreprise et vérifier que l’ensemble respecte les différents points du RGPD
  • Effectuer un audit du système d’information, notamment sur le plan de la sécurité des données.
  • Repenser les processus internes de collecte, de gestion et de traitement des données. Notamment avec l’application des principes de “Privacy by default” et “Privacy by design” à chaque niveau de l’activité, la mise à disposition des différents droits des personnes concernant leurs données, les procédures en cas de violation etc.
  • Pour les entreprises ayant des traitements de données particuliers, des dispositions additionnelles sont requises.

Mettez votre système d’information en conformité avec nos prestations RGPD, spécialement adaptées pour les TPE et les PME. En savoir plus sur cette page dédiée…