RGPD : comment être en conformité et quelles obligations pour les entreprises ?

Entré en application le 25 mai 2018 et renforcé en avril 2021, le règlement général sur la protection des données (RGPD) encadre la protection des données personnelles sur le territoire de l’Union Européenne. Les entreprises sont dans l’obligation d’être en conformité avec ce règlement, sans quoi, elles risquent des sanctions pécuniaires.

Le RGPD : pour qui et pour quelles données ?

Tout organisme quel que soit sa taille, son pays d’implantation et son activité, peut être concerné par le RGDP.

En effet, ce règlement s’adresse à l’ensemble des entreprises établies dans l’Union européenne (UE) ou aux entreprises dont les activités de traitement sont liées à l’offre de biens ou de services dans l’UE, ainsi qu’à leurs sous-traitants, dès lors qu’ils collectent et traitent des données visant des résidents européens.

Quant aux données concernées, il s’agit de données à caractère personnel. Aux termes de l’article 4.1 du RGPD, on entend par « données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable.  Une personne physique, est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Mise en œuvre du RGPD : les points essentiels

Un projet de mise en conformité commence par un état des lieux et par une phase de diagnostics.

En effet, pour être en conformité, les entreprises doivent :

  1. Réaliser l’inventaire de traitement des données personnelles,
  2. Analyser les écarts entre la pratique actuelle et mettre en place des procédures (notification des violations de données, gestion des réclamations et des plaintes, etc.),
  3. Identifier les associés aux opérations de traitement et prendre les mesures nécessaires à leur prévention,
  4. Maintenir une documentation assurant la traçabilité des mesures.

Focus sur la fonction de délégué à la protection des données (DPO)

Le RGPD rend obligatoire la désignation d’un DPO dans les organismes privés ou publics dont « les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées » ou lorsque « le traitement est effectué par une autorité publique ou un organisme public », à l’exception des juridictions.

Le rôle du DPO est d’assurer la conformité de l’entreprise au regard de la réglementation applicable en matière de protection des données personnelles. Il doit également informer et conseiller l’entreprise sur les dispositions à mettre en œuvre pour se conformer au RGPD.

Sanctions encourues en cas de non-respect du RGPD

La commission nationale informatique et libertés (CNIL), chargée de veiller à la protection des données personnelles a un rôle d’alerte, de conseil et d’information vers tous les publics. Elle dispose également d’un pouvoir de contrôle et de sanction en cas de non-respect du RGPD.

Les entreprises sont tenues à prouver, en cas de contrôle, qu’elles sont en conformité du RGPD. A défaut, les autorités de contrôle, dont la CNIL, peuvent imposer des sanctions administratives pouvant aller jusqu’à 4 % du CA réalisé au niveau mondial (au cours de l’exercice précédent) ou 20 M€, le montant le plus élevé étant retenu.

Par ailleurs, les entreprises ont pour obligation de mettre en place des mesures de sécurité permettant d’assurer une sécurisation maximale de l’intégrité des données personnelles stockées dans le système d’information. C’est un point très important dans la mesure où c’est l’entreprise qui est responsable en cas de fuite de données personnelles (data leak).

En cas d’incident, en l’occurrence une cyberattaque, une notification d’attaque informatique ou de faille de sécurité entraînant des fuites d’information à caractère personnel doit être réalisée auprès de la CNIL sous 72 heures. Cette obligation concerne aussi les sous-traitants : par exemple, les sociétés tierces hébergeant des données personnelles de l’entreprise.

L’entreprise victime de cette fuite de données doit également avertir tous ses clients et salariés par lettre recommandée avec AR.

La collecte des données et le consentement sur le Web

Le recueil de consentement, au moment de la collecte de données est l’un des points les plus importants du RGPD. En effet, une des conséquences de l’évolution du RGPD est que les entreprises doivent obligatoirement demander le consentement à l’internaute d’une manière claire et explicite.  Dès lors que le site utilise des cookies, elles sont en effet tenues d’ informer correctement l’utilisateur de la finalité de ces cookies et lui donner le choix de les accepter ou les refuser.

Ce principe de transparence est la condition nécessaire pour que le consentement soit « éclairé », donné en connaissance de cause. De plus, elles doivent garantir le droit des personnes : droit d’accès, droit de rectification, droit à l’oubli, droit à la portabilité… Elles doivent mettre en place les mesures appropriées pour assurer la sécurité optimale des données. La nomination d’un DPO est obligatoire pour certaines entreprises. Et enfin, toutes les entreprises doivent tenir un registre des traitements et le mettre régulièrement à jour.

 

Pour plus d’infos, consultez notre guide du Chef d’entreprise page 18

 

L’Équipe Groupe Novances