RGPD 2018

L’impact sur votre entreprise du nouveau règlement européen concernant la protection des données (RGPD)

Un règlement général européen sur la protection des données (communément connu par RGPD ou Règlement Général de Protection des Données) entrera en vigueur le 25 mai 2018. De facto, toutes les entreprises de toute taille et de tous secteurs, établies dans toute l’Europe ou hors UE, mais qui collaborent avec des personnes résidant dans le territoire européen devront s’y conformer.

Ce texte supranational a pour objectif de renforcer la législation en matière de protection des données et d’harmoniser les textes législatifs au sein de l’Union européenne. Ce règlement encadrera aussi une pratique en fort progression qui est la manipulation potentiellement malveillante des données d’individus.

Que prévoit le règlement général européen sur la protection des donnée (RGPD) ?

Ce texte prévoit de consolider les droits des personnes physiques, de renforcer les pouvoirs des autorités européennes et de responsabiliser les entreprises qui traitent des données à caractère personnel.

Ce règlement consacre aussi le droit à l’oubli, le droit à la portabilité des données et à l’opposition de toute opération marketing.

De plus les droits des mineurs de moins de 16 ans sont précisés et requiert impérativement l’accord d’un représentant légal.

La RGPD met en place également le principe de l’ «accountability » : il s’agit de renforcer la responsabilité des entreprises qui devront à partir de mai 2018 être en capacité de démontrer à tout moment qu’elles se conforment aux principes relatifs aux traitements des données personnelles.
Quelles seront les mesures à mettre en place au sein de votre entreprise ?

Désigné un Data Protection Officer

Lié au principe de l’ «accountability», vous devez tenir un registre de traitement des données. Cela va donc impliquer de votre part un travail de recensement et de consignation de tous les traitements de données personnelles au sein de votre entreprise. Les traitements correspondent à tout processus de collecte, de stockage, d’utilisation, de partage ou encore de destruction des données.

Pour mener à bien cette mission, il est fortement conseillé de nommer un délégué à la protection des données (un Data Protection Officer). Il aura en charge de veiller à la mise en conformité de votre activité avec les dispositions du règlement RGPD ; il sera en charge du pilotage de la gouvernance des données ; il aura des compétences juridiques et techniques très poussées ; il sera l’interlocuteur privilégié de la CNIL.

Ce « Data Protection officer » peut être une personne externe.

La désignation d’un délégué à la protection des données est obligatoire si vous avez une activité principale qui conduit à assurer un suivi systématique et à grande échelle des personnes (profilage), ou qui traite à grande échelle de données sensibles (politiques, religieuses, ethniques, biométriques, sanitaires, judiciaires, etc.) ou relative à des condamnations pénales et certaines infractions.

Obligation d’assurer le respect des droits et libertés des personnes physiques

Un des aspects essentiels de la RGPD est la transparence. Elle se concrétise par de nouveaux droits pour les personnes et la réaffirmation du
consentement.

Le règlement vous imposera aussi l’obligation d’évaluer le degré de risque pour les droits et libertés des personnes physiques et de mettre en place des actions en vue de garantir une sécurité maximale.

Vous devrez aussi répondre à toutes les demandes d’accès, d’édition et de suppression (droit à l’oubli) de données de la part de tout citoyen européen.

Toute personne aura le droit de vous demander un export de ses données dans un format structuré permettant d’être réutilisé par une autre structure (droit à la portabilité).

Dans l’hypothèse où vous souhaiteriez lancer une campagne emailings, vous ne pourrez envoyer des e-mails à vocation marketing qu’à des citoyens européens ayant donné un consentement explicite pour être contacté.

Obligation de notification en cas de violation de la vie privée

Dans le cadre de votre activité, si vous constatez une violation des données à caractère personnel d’une personne, vous devrez la prévenir et saisir la CNIL dans un délai de 72 heures. Ce délai court à partir du moment où vous aurez pris connaissance de cette violation. Cette notification permettra à la personne concernée de prendre les précautions qui s’imposent.

Sanction en cas de non-respect du règlement (RGPD)

Si vous ne respectez pas cette réglementation, le texte prévoit deux niveaux de sanctions : des amendes administratives d’un montant de 10 à 20 000 000 euros ou des amendes dont le montant pourra s’élever jusqu’à 4 % de votre chiffre d’affaires annuel.

Il vous reste donc encore quelques mois pour lancer une évaluation de votre système de traitement des données actuels et vous conformez à cette nouvelle réglementation.

Besoin d’en savoir plus, vous vous posez des questions sur la mise en conformité de votre entreprise au RGPD : comment construire votre programme de conformité et le rédiger, comment rédiger la fiche de poste du délégué à la protection des données, comment gérer la conformité de vos contrats etc….
Vous souhaitez être rappelé dans les plus brefs délais ? Cliquez ici.