RGPD : J-30, VOTRE ENTREPRISE EST-ELLE PRÊTE ?

Qu’est-ce que le RGPD ?

Le cadre juridique de la protection des données à caractère personnel (c’est-à-dire toute information permettant d’identifier une personne physique directement ou non) connaît actuellement un profond changement dans tous les pays membres de l’Union européenne avec l’adoption du nouveau Règlement Général sur la Protection des Données personnelles, dit « RGPD » (Règl. UE n° 2016/679).

Cette refonte s’est imposée afin, d’une part, d’harmoniser les législations nationales entre les pays membres de l’Union européenne, et d’autre part, pour faire face aux nouvelles réalités numériques (objets connectés, Big Data, intelligence artificielle…).

Le RGPD (ou « GDPR », General Data Protection Regulation) sera directement applicable dans l’ensemble des Etats membres de l’Union européenne à compter du 25 mai 2018, d’où la nécessité pour les entreprises de se mettre d’ici cette date en conformité avec le Règlement européen.

Qui doit se conformer au RGPD ?

Le Règlement (UE) n°2016/679 s’applique aux responsables de traitement des données personnelles et à leurs sous-traitants qui sont établis dans l’Union européenne, et également hors de l’Union européenne dès lors qu’ils offrent des biens ou des services à des résidents européens ou suivent leur comportement au sein de l’Union européenne. En d’autres termes, le RGPD s’applique à tout organisme qui traite des données personnelles liées à des citoyens européens. Ces organismes peuvent être des personnes physiques ou morales, publiques ou privées, dotées ou non de la personnalité juridique.

Quelles sont les obligations nouvelles imposées par le RGPD aux entreprises ?

Ces obligations sont les suivantes :

  • Respecter le principe de protection des données personnelles et de la vie privée imposé par le RGPD ;
  • Tenir et actualiser un « Registre des traitements » (sous certaines conditions) ;
  • Être en mesure de démontrer que les traitements de données à caractère personnel mis en œuvre respectent les règles applicables ;
  • Notifier à la CNIL toute violation de données à caractère personnel ;
  • Réaliser une analyse d’impact pour les traitements qui présentent un risque élevé pour la vie privée des personnes concernées ;
  • Désigner un Délégué à la Protection des Données (ci-après « DPO ») ;
  • S’assurer que les personnes sont informées de la durée de conservation des données ;
  • Permettre aux personnes dont les données sont traitées d’exercer notamment le droit à l’effacement, le droit à la portabilité des données, le droit de s’opposer au profilage et le droit de limitation du traitement.

Quelles sont les étapes de mise en conformité au RGPD ?

La mise en conformité d’une entreprise au RGPD peut se résumer en 6 étapes :

  • Désigner un Délégué à la Protection des Données (DPO) ;
  • Cartographier les traitements de données personnelles ;
  • Etablir un plan d’actions ;
  • Gérer les risques ;
  • Assurer un haut niveau de protection des données personnelles ;
  • Mettre en place des process internes pour s’assurer de la conformité au RGPD.

Qu’est-ce qu’un DPO ?

L’article 37 du RGPD impose dans certains cas la désignation d’un DPO, lequel peut un membre du personnel de l’entreprise, ou encore un membre externe, comme notamment un cabinet d’avocat.

Le DPO doit être désigné «  sur la base de ses qualités professionnelles, et en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 »  (art. 37.5 du RGPD).

Le DPO a notamment pour missions :

  • d’informer et de conseiller l’entreprise sur ses obligations ;
  • de contrôler le respect par l’entreprise du RGPD et du droit national en matière de protection de données ;
  • de conseiller l’entreprise sur la réalisation, dans certains cas, d’une analyse d’impact (PIA) et d’en vérifier l’exécution ;
  • de coopérer avec l’autorité de contrôle et d’être le point de contact avec celle-ci.

Quelles sont les sanctions en cas de non-respect du RGPD ?

Les entreprises doivent se conformer dans les délais à cette nouvelle réglementation car tout manquement aux obligations prescrites est passible de sanctions pénales ou encore de sanctions administratives dissuasives infligées par la CNIL. Les sanctions pécuniaires peuvent être très lourdes (de 2 à 4% du chiffre d’affaires annuel et mondial selon la gravité et la nature du manquement).

 


 

N’hésitez pas à consulter le cabinet PH AVOCATS pour toute question relative au RGPD, ainsi que pour lui confier une mission de DPO pour votre entreprise.

En effet, certains des collaborateurs du cabinet ont suivi une formation spécifique afin d’exercer les fonctions de DPO avec la plus grande rigueur.  Par ailleurs, des formations pratiques destinées aux équipes opérationnelles (vente, RH, Marketing, IT…) concernant la mise en place du RGPD peuvent être assurées par le cabinet.