RGPD : quelques informations

Le RGPD, c’est quoi ?

Le RGPD est un règlement européen qui entrera en vigueur le 25 mai 2018. Il a vocation à remplacer l’actuelle réglementation qui oblige les entreprises qui collectent et traitent des données personnelles à respecter des formalités déclaratives auprès de la CNIL. En contrepartie de la fin des obligations déclaratives, les entreprises sont responsabilisées : c’est le principe d’« accountability ». Les entreprises auront l’obligation de mettre en œuvre des mécanismes et des procédures internes permettant de respecter les règles relatives au RGPD. Et il faudra justifier du respect de cette obligation.
Source : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

Comment respecter le RGPD ?

D’ici le 25 mai 2018, les entreprises doivent avoir réalisé une cartographie des données qu’elles sont susceptibles de collecter (éventuellement par l’intermédiaire d’un prestataire externe).
Le cas échéant, elles doivent également tenir un registre recensant l’ensemble des données collectées et réaliser une étude d’impact (cette étude est obligatoire lorsque les données traitées sont dites « sensibles », c'est-à-dire sil elles peuvent porter atteintes aux droits et libertés des personnes).
En outre, les entreprises doivent s’assurer (et prouver !) que l’information donnée au sujet de la collecte des données personnelles, de leur traitement et de leur protection est claire, intelligible et aisément accessible. Et cela suppose que l’internaute ou le tiers ait donné son consentement à la collecte et au traitement de ses données personnelles (déclaration écrite, case cochée, etc.).
Le cas échéant, une entreprise peut être amenée à nommer un « Data Personnal Officer » (délégué à la protection des données personnelles en français). Il peut s’agir d’un salarié ou d’une personne externe à l’entreprise.

RGPD : pour qui ?

Ces dispositions ne s’appliquent pas seulement aux relations que les entreprises peuvent entretenir avec des clients ou prospects : elles ont, en effet, également vocation à s’appliquer au traitement RH des données concernant leurs salariés.

RGPD : quelles sanctions ?

Attention : le non-respect de la règlementation sur la protection des données personnelles pourra être sanctionné d’une amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise.

RGPD : quels impacts ?

Cette mise en conformité a des impacts aussi bien techniques (analyse des bases de données, recensement de données, équipements de contrôle d'accès...) que juridiques (reprise des contrats commerciaux, des contrats de travail, des conditions générales de ventes),
il est conseillé aux entreprises de faire appel à des avocats pour les aspects juridiques, et à des développeurs informatiques et à leurs conseils pour les aspects techniques.