La mise en conformité RGPD renforce les droits des personnes et engendre une responsabilisation de l’entreprise en charge de collecte des données à caractère personnel. Quelles obligations la mise en conformité RGPD a-t-elle entraîné aux entreprises désignées comme responsables de traitement des données ?
Obligation générale de sécurisation et de confidentialité
Entré en vigueur depuis le mois de mai 2018, le RGPD, ou Règlement Général sur la Protection des Données est un règlement européen relatif à la protection des données de tous les citoyens de l’Union Européenne. En France, c’est la CNIL, Commission Nationale de l’Informatique et Libertés, qui est l’autorité de contrôle, chargée de vérifier si une entreprise est conforme au règlement RGPD. Elle contrôle les règles de protection des données et des systèmes pour mettre en conformité les entreprises, en adéquation totale avec la loi Informatique et Libertés qui existe en France depuis 1978.
L’organisme en charge de la collecte des données doit pouvoir justifier à tout moment toutes les mesures de sécurité des données mises en œuvre pour protéger les données personnelles : endommagement, accès aux données par des tiers, déformation des informations.
Le responsable des données doit indiquer dès le départ la durée de conservation des données à caractère personnel. Il doit tenir un registre de traitement des données.
L’utilité d’un logiciel RGPD dans l’obligation à l’information
Un logiciel RGPD est un outil nécessaire dans la mise en conformité des entreprises. Il va aider, de manière sécurisante à simplifier les traitements des données personnelles et à gérer rapidement les consentements qui doivent obligatoirement être recueillis auprès des utilisateurs. Le rôle du logiciel RGPD n’est pas négligeable, il facilite la tâche du responsable de traitement des données personnelles qui a obligation d’informer l’utilisateur sur :
- l’identité du responsable des fichiers
- les finalités pour lesquelles la collecte des données a lieu
- l’importance de leur consentement
- leur droit d’accès, de modification, de suppression et d’opposition concernant leurs données collectées
L’obligation de mettre en place un système d’analyse d’impact pour les droits et libertés des personnes
Certaines données collectées peuvent présenter des risques élevés sur la vie privée des clients. L’entreprise doit alors présenter à la CNIL une étude portant essentiellement sur une analyse d’impact relative à la protection de la vie privée ou PIA avec les démarches entreprises pour diminuer le risque.
Ces données à risque sont des données dites sensibles et nécessitent une vigilance particulière pendant leur traitement. Ce sont des informations sur les origines raciales et ethniques, les opinions politiques ou les convictions religieuses, des données biométriques ou des informations génétiques, les dossiers médicaux.
L’objectif de la PIA est de gérer à temps les risques et d’anticiper les mesures à prendre pour faire face à une violation ou à une fuite éventuelle des données. Trois points essentiels sont à considérer dans ce volet relatif aux risques : identifier les risques, les évaluer et les traiter à temps.
La nomination d’un DPO ou Délégué à la protection des données personnelles
La nomination d’un DPO fait partie des obligations que le responsable de traitement ou son sous-traitant doivent observer. Au sein d’une entreprise, c’est le maître à bord, en matière de conformité réglementaire au RGPD. Son rôle est polyvalent, mais surtout stratégique. Il a pour principale mission de protéger les données et de les respecter surtout pour les traitements de données personnelles à grande-échelle. Il doit assurer la conformité des opérations des traitements avec le RGPD.
Le rôle principal du DPO est aussi de conseiller le responsable de traitement, de veiller au respect du RGPD et d’être l’interlocuteur de la CNIL.
Il assure également la formation des employés pour une meilleure protection des données en instaurant des pratiques efficaces. Il intègrera dans l’entreprise une culture de Data Protection afin de faciliter la protection et la sécurisation des données sur le long terme.
Que se passe-t-il en cas de manquement à ces obligations ?
Toute entreprise qu’elle soit petite ou grande, tout secteur d’activités collectant des données personnelles des citoyens européens doivent tous être mis en conformité RGPD sans exception. Même les entreprises en dehors du vieux continent ne dérogent pas au RGPD, du moment où elles traitent et collectent des données européennes.
En cas de non-respect du RGPD, l’entreprise encourt une sanction administrative et pénale, respectivement, 4% du chiffre d’affaires annuel et une peine d’emprisonnement pouvant aller jusqu’à un an.
Certes ces règles de protection de données et les obligations qu’elles entrainent au niveau des entreprises représentent des contraintes fastidieuses. Néanmoins, de l’autre côté de la médaille, ces obligations, une fois respectées, représentent pour l’entreprise un avantage concurrentiel non négligeable. En effet, les clients, les utilisateurs et les prospects se rueront vers les sites, les entreprises et les organisations qui valorisent la sécurisation de leurs données personnelles. La mise en conformité RGPD accroît donc la notoriété de l’entreprise auprès de ses clients.
Voir aussi
