Le RGPD ou Règlement Général sur la Protection des Données à caractère personnel est entré en application le 25 mai 2018. Il propose un cadre juridique qui renforce le droit des personnes et la protection des données. Il a pour mission de responsabiliser les sociétés sur les utilisations des données à caractère personnel récoltées pendant leur activité. En France, il est dans la continuité de la loi informatique et libertés. Il garantit une parfaite éthique et une transparence sur les traitements de données.
Le recensement des données collectées ainsi que leur traitement
Les entreprises collectent de multiples données sensibles. Celles mises en avant par le Cnil sont les données personnelles relatives au nom, prénom, âge, poids, taille, email, adresse et adresse IP, données de santé, données biométrique, opinion politique et religieuse ou encore situation familiale et orientation sexuelle.
Il est important de mettre en avant ce que va faire l’entreprise : les données à caractère personnel collectées, les divers traitements de données personnelles, la finalité de ces opérations, les responsables de traitement et le flux de données. Doivent aussi être mis en avant les méthodes pour le traitement des données et surtout, les objectifs à atteindre au terme de cette collecte.
La désignation d’un DPO
Quelle solution RGPD mettre en place ? C’est le DPO ou le délégué à la protection des données qui va s’assurer de la mise en conformité de l’entreprise quant à la protection des données personnelles. Remplaçant l’actuel CIL ou Correspondant Informatique et Liberté, il doit avoir des qualités qui lui sont propres comme le fait d’avoir une bonne expertise juridique et technique, avoir une bonne connaissance du secteur, avoir tous les moyens nécessaires pour le traitement des données personnelles et surtout, avoir accès aux sources de données traitées.
Le DPO a de multiples rôles au sein d’une entreprise. Il doit s’assurer de la mettre en conformité avec le RGPD, mais surtout, il a une obligation de conseils envers l’entreprise. Il doit suivre l’exécution de l’analyse d’impact et doit s’acquitter de la tâche de gestion des données.
Etre en conformité avec le RGPD : la nécessité d’une documentation quotidienne
Toute entreprise se doit de mettre en œuvre des actions ainsi que des procédures internes afin de prouver qu’elle respecte effectivement les règles relatives à la protection des données personnelles. Ce dossier est important pour mettre en exergue les droits et libertés des personnes concernées et il sera articulé autour de trois points précis à savoir :
- Les techniques d’information des personnes ;
- Les informations concernant les pratiques en termes de traitement des données ;
- Les divers éléments établissant les rôles et les responsabilités de chaque intervenant dans cette collecte et ce traitement des données.
Si vous constatez que les pratiques qui sont en cours dans votre société comportent un risque quelconque pour les libertés des personnes ainsi que leur droit, vous devez mener une étude d’impact ou PIA (Privacy Impact Assessment).
Quels sont les risques encourus en cas du non-respect du RGPD ?
De multiples mesures correctrices sont déployées en cas de non-respect du RGPD. Ça peut commencer par un simple avertissement, puis une sanction et un rappel à l’ordre. En cas de faute lourde, l’entreprise peut même se voir retirer des certifications. L’ultime recours en cas de non-respect, c’est que le RGPD prévoir une amende pouvant avoisiner les 20 millions d’euros ou les 4% du CA annuel mondial de l’entreprise.
En plus de cela, le non-respect du RGPD peut avoir un réel impact sur la popularité de l’entreprise et ce que ses collaborateurs en pensent. Cette perte de confiance peut influer sur la conclusion de certains contrats. Car il faut savoir que certains clients imposent des garanties de conformité.