Du lundi au vendredi de 9h00 à 13h00 et de 14h00 à 19h00

Vous êtes ici : Accueil > Actualités > RGPD: Les nouvelles obligations des entreprises

RGPD: Les nouvelles obligations des entreprises

Le 27 novembre 2019
Depuis le 25 mai 2018, les règles relatives à la protection des données personnelle sont modifiées en raison de la mise en œuvre effective d'un règlement européen dit "RGPD" et des nouvelles obligations s'imposent à eux.

Les nouvelles obligations des entreprises introduites par le RGPD consiste bien entendu à mettre en place une organisation interne et des procédures permettant de répondre aux nouveaux droits de leurs clients ou prospects, notamment en ce qui concerne le recueil de leur consentement, leur droit d'accès aux données, leur rectification, leur effacement et leur portabilité.

En outre, les entreprises qui conservent des données personnelles devront agir en toute transparence et par conséquent fournir à leurs clients ou prospects de nombreuses informations.

Le RGPD leur impose aussi de respecter certaines dispositions spécifiques, telles que, dans certains cas, la désignation d'un délégué à la protection des données, et, dans pratiquement tous les cas, la tenue d'un registre des traitements.

Enfin, les entreprises devront également prendre toutes les mesures nécessaires pour assurer la sécurisation et la protection des données.

Informations à fournir à la personne dont les données sont collectées

Lorsque des données à caractère personnel relatives à une personne physique sont collectées auprès de cette personne, le responsable du traitement (votre société) doit lui fournir, au moment où les données en question sont obtenues, toutes les informations suivantes (ces données doivent notamment figurer sur votre site internet si vous en possédez un) :

l'identité et les coordonnées du responsable du traitement (votre société) et, le cas échéant, du représentant du responsable du traitement ;
le cas échéant, les coordonnées du délégué à la protection des données (voir plus loin) ;
les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
le cas échéant les intérêts légitimes poursuivis par votre société ou par un tiers ;
les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent ;
et, le cas échéant,

le fait que votre société a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale.

De plus, il faut également fournir à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :

la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;
la possibilité, pour la personne concernée, de demander l'accès à ses données à caractère personnel, la rectification ou l'effacement de celles-ci, la possibilité de demander une limitation du traitement ou même de s'opposer à celui-ci, ou encore le fait qu'elle bénéficie du droit à la portabilité des données la concernant ;
l'existence du droit de retirer son consentement à tout moment ;
le droit d'introduire une réclamation auprès d'une autorité de contrôle ;
des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données.
Enfin, lorsqu'il a l'intention d'effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle ces données ont été collectées, le responsable du traitement doit fournir au préalable à la personne concernée des informations au sujet de cette autre finalité.

Désignation d'un délégué à la protection des données (DPO)

Si les activités de base de votre société consistent en un traitement « à grande échelle » de données à caractère personnel, le RGPD vous impose de désigner un délégué à la protection des données.

Celui-ci a pour mission de veiller à ce que tout soit mis en œuvre pour que le RGPD soit respecté au sein de votre entreprise.

Il doit bien sûr posséder les qualités et connaissances professionnelles nécessaires.

Il peut s'agit d'un membre du personnel ou d'un intervenant extérieur, mais dans tous les cas son nom et ses coordonnées devront être accessibles aux personnes dont les données sont collectées et devra être communiqué à l'autorité de contrôle (la CNIL en France).

Tenue d'un registre des activités de traitement

Selon l'article 30 du règlement, chaque responsable du traitement et, le cas échéant, son représentant, doivent tenir un registre des activités de traitement effectuées sous leur responsabilité. Ce registre doit obligatoirement être présenté sous une forme écrite, mais il peut toutefois revêtir la forme électronique (exemple de registre règlement européen sous Excel)

Il doit être tenu à la disposition de l'autorité de contrôle (la CNIL), sur demande de celle-ci, et il doit contenir les informations suivantes :

le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
les finalités du traitement ;
une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale ;
dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données ;
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.
Remarque : le règlement précise que le registre des activités de traitement de données n'est pas obligatoire dans les entreprises qui comptent moins de 250 salariés... sauf si ce traitement n'est pas occasionnel ! Or les fichiers créés occasionnellement étant plutôt rares, autant dire que le registre est obligatoire dans la quasi totalité des entreprises.

Sécurisation du traitement et protection des données

Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

la pseudonymisation et le chiffrement des données à caractère personnel ;
des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
A cet égard, il doit en particulier être tenu compte des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

En cas de violation de données à caractère personnel, l'autorité de contrôle doit en être informée dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. La personne concernée doit également être informée, à moins que, compte tenu des mesures prises, cette violation soit sans conséquence possible pour elle.

Contrôles et sanctions

Afin de contrôler le respect de ce règlement, chaque État membre doit prévoir qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller son application.

En France, il s'agit de la CNIL (Commission Nationale Informatique et Libertés)

Désormais, celle-ci ne fera pratiquement plus de contrôles a priori, comme c'est le cas aujourd'hui, mais essentiellement du contrôle a posteriori, et elle pourra bien sûr infliger des amendes.

A cet égard, le RGPD prévoit que, selon la gravité des faits, les amendes peuvent s'élever de 10 à 20 millions d'euros, ou de 2 % à 4 % du chiffre d'affaires annuel mondial s'il s'agit d'une entreprise, le montant le plus élevé étant retenu.

Néanmoins, la CNIL a d'ores et déjà fait savoir qu'elle ne se poserait pas en censeur inflexible. Elle entend au contraire accompagner les entreprises face à ce nouveau défi que représente le RGPD.

Son site internet contient déjà bon nombre d'informations utiles sur la mise en application de ce nouveau règlement (voir notamment « Se préparer au RGPD en 6 étapes »), et elle vient par ailleurs, toujours dans le but d'aider les professionnels, de publier un « Guide de la sécurité des données personnelles » composé de 17 fiches pratiques et accessible gratuitement.

Source : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016