Se conformer au RGPD

Google+ Pinterest LinkedIn Tumblr +

Le nouveau Règlement européen pour la protection des données « RGPD », applicable en France le 25 mai 2018, vise à renforcer la protection des données personnelles et les droits des personnes concernées. Il vise toutes les entreprises amenées à traiter des données personnelles.

Qui est concerné ?

Le RGPD a vocation à s’appliquer à tout traitement portant sur des données personnelles, qu’il s’agisse de leur collecte, utilisation ou conservation (ex : prospection commerciale, fichiers clients, fichiers du personnel, etc.). Pratiquement, toute entreprise est donc concernée. Ce texte s’applique que vous disposiez d’un établissement dans l’UE ou non, à partir du moment où les personnes concernées par le traitement y sont établies.

Quelles obligations ?

A partir de mai 2018, finies les déclarations à la CNIL. Il vous appartient de mettre en place en interne les moyens de démontrer que vous êtes en conformité. A titre d’exemple, la tenue d’un registre des traitements (intégrant notamment la nature des données traitées, les finalités des traitements et les durées de conservation, etc.) devient – sauf rares exceptions – obligatoire en interne. De plus, les entreprises vont devoir, dans certains cas (ex : traitement de données de santé, suivi régulier du comportement d’un nombre significatif de personnes, etc.), désigner un délégué à la protection des données (DPD) ayant pour mission notamment de contrôler le respect du RGPD et de coopérer avec la CNIL.

L’autre grande nouveauté réside dans l’obligation d’appréhender la problématique des données personnelles dès la mise en place de projets (ex : réaliser des analyses d’impact si applicables) et de garantir, par défaut, le plus haut niveau de protection des données. L’anticipation est donc le maître-mot ! Les entreprises doivent en outre mettre en place des mesures de sécurité adéquates (ex : chiffrement des données). En cas de failles de sécurité, elles devront les notifier dans les 72 heures après sa connaissance à la CNIL et dans certains cas aux personnes concernées.

Quid du sous-traitant dans tout cela ?

Le sous-traitant (ex : hébergeur, agence d’emailing, etc.) doit désormais assister et conseiller de façon permanente ses clients pour la mise en conformité de leurs traitements et respecter un certain nombre d’obligations spécifiques (ex : tenir un registre des traitements pour chacun de ses clients, obtenir une autorisation écrite s’il souhaite sous-traiter, etc.). Le respect du RGPD étant conditionné à un traitement de données personnelles, l’éditeur de logiciel (hors fourniture de services avec hébergement) n’est, en principe, pas concerné.

Quelles sanctions ?

Selon la catégorie de l’infraction retenue, les amendes pourront s’élever jusqu’à 20 M€, ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial. La plus grande vigilance est donc de mise et toute entreprise a intérêt à prendre rendez-vous auprès d’un avocat pour faire un état des lieux et prévoir les actions à mener.

Pierre Langlais avocat RGPD Ecopolitan 5

Pierre Langlais, Langlais Avocats

Hélène Chauveau avocat RGPD Ecopolitan 5

Hélène Chauveau, Langlais Avocats

Pierre Langlais et Hélène Chauveau sont avocats chez Langlais Avocats (Nantes-Paris). Ce cabinet est exclusivement dédié à la Propriété intellectuelle, à l’Informatique et à l’Internet.
www.langlais-avocats.com
Consultez aussi www.yoonozelo.com

Partager