Vous êtes dans : Accueil > Services Entreprises > Nouvelles technologies > RGPD : toutes les entreprises concernées

RGPD : toutes les entreprises concernées

le 10 avril 2018 par Didier Robino

Applicable dès le 25 mai 2018, le Règlement général pour la protection des données  vous concerne, dès lors que vous manipulez des éléments à caractère personnel dans le cadre de votre activité (1)…

Cette nouvelle législation, qui englobe tous les pays de l'Union européenne, renforce les droits des citoyens (particulièrement en cas d’exploitation abusive d’informations les concernant), tout en responsabilisant davantage les professionnels (2).

Un allègement des procédures, mais…

En vertu de ce principe, de nombreuses démarches déclaratives, autrefois exigées par la CNIL, ne sont plus d’actualité (3). En revanche, le responsable du traitement doit à tout moment pouvoir justifier que toutes les mesures adéquates ont été prises, afin de garantir le respect de la confidentialité et de la sécurité des fichiers qu’il détient (principe « d’accountability  »)…

En outre, le règlement introduit un certain nombre de concepts nouveaux, dont les fameux « Privacy by design  » et « Privacy by default  » (4). Derrière ces termes abscons se cachent l’obligation de prendre en compte la protection des données dès la création des process informatiques, ainsi que l’engagement de n’utiliser des renseignements à caractère personnel qu’en cas d’absolue nécessité, tout en proscrivant leur utilisation à des fins autres que celles initialement convenues.

…De nouvelles exigences

Rappelons que lors de toute collecte de ce type d’informations, l’entreprise se doit de s’assurer au préalable du consentement de la personne concernée et de l’avertir de façon claire de l’usage qui en sera fait…

Ajoutons que les entreprises comptant au moins 250 employés ou traitant des données personnelles « à grande échelle  » (5), se verront désormais imposer la tenue d’un registre, faisant état de toutes les opérations liées au recueil de renseignements. Elles auront aussi le devoir de désigner un DPD, chargé de veiller à la conformité de tous les traitements et d’en mesurer les impacts, en étroite collaboration avec la CNIL (6).

Bien entendu, cela implique également que des précautions doivent être prises du point de vue de la sécurité informatique, afin notamment d’éviter tout piratage...

En cas de faille avérée, la CNIL devra en être avertie dans les 72 heures, et si l’intégrité de données concernant des individus devait être mise en péril, ces derniers devront impérativement en être informés dans les meilleurs délais.

Et des sanctions !

Attention : en cas de manquement, l’addition pourrait s’avérer salée ! En effet, si la législation prévoit le recours à de simples avertissements lors de fautes anecdotiques, un préjudice plus lourd pourra entraîner des amendes pouvant aller jusqu’à 4% du chiffre d'affaires annuel mondial ou 20 millions d'euros…

Consultez la vidéo explicative :

Consultez la page de la CNIL consacrée à cette thématique.

Le saviez-vous ? la CNIL et Bpifrance publient un « Guide pratique de sensibilisation » pour aider les TPE et PME à se préparer au nouveau règlement.

(1) Un fichier clients, par exemple.
(2) Nota : cette règle s’applique également en cas de sous-traitance.
(3) Sauf exceptions, exemple : données biométriques.
(4) Protection « dès la conception  » et « par défaut  ».
(5) Ces notions doivent faire l’objet de précisions législatives à venir.
(6) Ou DPO (Data protection officer) en langue anglo-saxonne. Pour le secteur public, chaque entité doit disposer d’un DPD, quelle que soit sa taille. Dans tous les cas, le DPD peut être mutualisé.

Partager cette page