#NEWS

01/06/2018

RGPD – Quelles obligations et conséquences pour les entreprises ?

Le règlement européen sur la protection des données impose depuis le 25 mai 2018 de nouvelles contraintes aux entreprises concernant le traitement des données à caractère personnel. Les entreprises ne respectant pas le RGPD seront passibles d’une sanction financière allant jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros. L’objectif de l’Europe est d’offrir un cadre renforcé et harmonisé de la protection des données tenant compte des récentes évolutions technologiques (big data, objets connectés, intelligence artificielle) et des défis qui accompagnent ces évolutions.

 

 

Qui est concerné ?

 

Toute entité juridique, publique ou privée, qui procède à la collecte, au stockage et/ou à l’utilisation de données à caractère personnel de citoyens de l’Union Européenne, et ce, que cette entité juridique :
> Se situe dans l’Union Européenne ou hors Union Européenne,
> Procède au traitement de ces données à caractère personnel :
– Elle-même ou qu’elle le donne en sous-traitance,
– Pour son propre compte ou pour le compte de tiers.

 

 

Qui sont les acteurs du traitement des données personnelles dans l’entreprise ?

Qui est responsable en cas de non-conformité ?

 

Une fuite de données ou une non-conformité au RGPD peut avoir de multiples impacts pour les prestataires, les partenaires et les clients mais surtout pour l’entreprise elle-même en termes d’image et de réputation. En cas de non-respect de la loi sur les données personnelles, le responsable légitime est le mandataire social de l’entreprise.

 

 

De quels nouveaux droits et obligations parle-t-on ?

 

Pour être en conformité avec le RGPD, les entreprises devront présenter plusieurs documentations portant sur :

 

Les contrats qui définissent les rôles et les responsabilités des acteurs
> Les contrats avec les sous-traitants
> Les procédures internes en cas de violations de données
> Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.
Les traitements de données personnelles
> Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants)
> Les analyses d’impact sur la protection des données (PIA : cf. fiche technique jointe) pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personne

> L’encadrement des transferts de données hors de l’Union Européenne (notamment, les clauses contractuelles types, les BCR et certifications).

 

L’information des personnes
> Les mentions d’information
> Les modèles de recueil du consentement des personnes concernées
> Les procédures mises en place pour l’exercice des droits.

 

 

À quelles sanctions les entreprises s’exposent-elles en cas de non-conformité ?

 

Les sanctions administratives sont diverses : avertissement, mise en demeure de l’entreprise, limitation temporaire ou définitive d’un traitement, suspension des flux de données, ordre de satisfaire aux demandes d’exercice des droits des personnes, ordre de rectifier, limiter ou effacer des données. S’agissant des nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut retirer la certification délivrée ou ordonner à l’organisme de certification de retirer la certification.

 

Amendes :
> Non respect du droit au « testament numérique » : 3 M€
> Manquement aux principes essentiels et obligations du RGPD : 10 M€ ou 2 % du CA
> Manquement aux principes et aux droits des personnes : 20 M€ ou 4 % du CA.

 

COMMENT LA CNIL CONTRÔLERA LE RESPECT DU RGPD À PARTIR DU 25 MAI 2018 ?

 

D’une manière générale, les pouvoirs de contrôle de la CNIL restent inchangés. La principale nouveauté réside dans le fait que les contrôles effectués sur des acteurs internationaux s’effectueront dans un contexte de coopération très poussée qui conduira à une décision harmonisée à portée européenne.

 

La CNIL distinguera deux types d’obligations s’imposant aux professionnels :
> Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données…). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL.

> Pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact…), les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en oeuvre opérationnelle des textes. En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points.

Verlingue peut vous accompagner dans votre processus de mise en conformité RGPD