Le RGPD c’est quoi ?
Le Règlement Général sur la Protection des Données est un texte européen destiné à renforcer et harmoniser les droits des citoyens européens au niveau de la protection de leur données personnelles. Il est entré en vigueur le 24 mai 2016 et il sera en application à partir du 25 mai 2018 sur tout le territoire européen.
Attention, comme c’est un règlement et non une directive européenne, son application se fait directement. Il n’y a pas de transposition en droit national à attendre.
Quel est le but du RGPD ?
Le RGPD a été créé pour améliorer les droits des citoyens européens en matière de protection des données personnelles.
Le texte s’articule autour de plusieurs grands axes :
- La transparence des traitements
- Le consentement explicite
- La limitation de la conservation des données
- La confidentialité et la sécurité des données
- La co-responsabilité du responsable du traitement et de ses sous-traitants
- Principe « Accountability » : le responsable du traitement doit prouver sa conformité
Qui est concerné ?
Toute entreprise qui collecte, classe, traite ou analyse des données relatives à une personne physique identifiée ou identifiable que ce soit un consommateur ou un salarié européen, c’est à dire :
- Les acteurs économiques privés et publics européens (entreprises, associations, administrations, collectivités locales)
- Les sous-traitants de ces acteurs
- Les entreprises hors Union Européenne qui proposent des services et biens sur le marché européen
Quelles sont vos obligations ?
Avec le RGPD, vous n’avez plus besoin de remplir une déclaration auprès de la CNIL lors de la création d’un nouveau traitement de données. Mais vous devez assurer un autocontrôle en prenant toutes les mesures nécessaires pour garantir la conformité des traitements des données personnelles.
Le registre des traitements doit vous permettre de prouver votre conformité effective.
Quelles sanctions ?
- Dans le cas d’une fuite de données liée à une sécurité non adaptée non conforme au RGPD, vous vous exposez à une amende de 10 millions € ou 2% de votre chiffre d’affaires annuel mondial (le plus important des deux est retenu).
- Dans le cas d’une violation des principes du RGPD, vous risquez des sanctions pénales ainsi qu’une amende qui peut atteindre 20 millions € ou 4% du CA annuel mondial (le plus important des deux est retenu).
Quelles démarches réalisées ?
- Désignez un Délégué à la Protection des Données (DPD) qui pilotera la conduite du changement
- Sensibilisez les acteurs internes de votre entreprise ainsi que vos sous-traitants
- Cartographiez les traitements existants et les risques inhérents en définissant les lieux de stockage et de transit des données
- Généralisez le consentement explicite sur l’ensemble de vos collectes de données personnelles.
- Garantissez le droit des personnes ( accès, rectification, limitation, opposition, droit à l’oubli, portabilité, réclamation)
- Limitez la durée de conservation de l’ensemble de vos données à caractère personnel
- Créez un registre des traitements
- Sécurisez l’accès et le contenu des données impactées
- Intégrez la notion de “protection dès la conception”
- Préparez vous à un éventuelle fuite de données
- Mettez à jour la documentation de votre conformité tout au long de la vie de vos traitements
OpenSolus peut vous accompagner tout au long de votre mise en conformité RGPD, n’hésitez pas à nous contacter.