phone Rappel gratuit
RGPD : comment ça marche ?

RGPD : Principes et aspects juridiques

Share Button

Le règlement général sur la protection des données (RGPD) est un règlement européen adopté le 14 avril 2016 et qui entrera en vigueur dans tous les Etats membres de l’Union Européenne le 25 mai 2018.

Les données personnelles doivent être entendues comme les données des personnes qui sont traitées par les organismes concernés, et non comme les données privées.

Qui est concerné par le RGDP ?

Le RGPD concerne tout organisme traitant nécessairement des données personnelles dans le cadre de son activité (entreprises, associations, organismes publics, sous-traitants…).

Quelles sont les sanctions en cas de défaut d’application du RGPD ?

  • Pouvoir de contrôle des autorités (CNIL) :
    • Enquêtes sous forme d’audit
    • Examen des certifications
    • Accéder aux informations et aux locaux du responsable de traitement (RT) et du sous-traitant (ST).

 

  • Pouvoir de sanctions :
    • Renforcement des sanctions administratives :
    • Jusqu’à 20 millions € ou 4% du Chiffre d’affaires (CA) annuel global
    • Simple avertissement
    • Sanction pénale applicable selon la législation nationale (en droit français sanction pénale applicable).

A ces sanctions prévues par le règlement européen, s’ajoutent les sanctions nationales actuelles (pouvoirs de contrôle de la CNIL : sur place, sur pièces, sur convocation, en ligne et les sanctions administratives et pénales).

Quelles sont les étapes nécessaires à la mise en place de ce règlement ?

  1. Un état des lieux

Même si la nomination d’un délégué à la protection des données (DPD) n’est pas obligatoire, il est nécessaire de nommer une personne chargée de veiller à une telle protection au sein des grandes entreprises.

Au cours de cet état des lieux, il faut procéder à des audits :

  • Audit des pratiques des traitements (papiers et électroniques), des documents existants : recenser les données et les trier
  • Audit du système d’information
  1. Diagnostic

Pour ce faire, il faudrait établir un bilan de conformité et non-conformité à la protection des données, l’identification des écarts réglementaires et enfin il faut procéder à une analyse globale des risques et priorisation des mises en conformité.

  1. Plan d’action

Pour assurer la conformité avec les exigences du RGPD, les organismes concernés doivent :

  • Lister les traitements de données personnelles en identifiant leur finalité, le support associé et les destinataires
  • Les répertorier dans un registre dédié ou sur une liste de traitements de données personnelles
  • Lister les actions de conformité à mener en priorisant les plus sensibles
  • Sécuriser les traitements les plus sensibles en effectuant une analyse d’impact sur la protection des données
  • Revoir l’organisation interne en mettant à jour les mentions d’information (informer les personnes de leurs droits…), revoir la règle d’archivage, rappeler certaines bonnes pratiques aux collaborateurs (réunion…)
  • Documenter et tracer les moyens mis en œuvre pour garantir la protection des données notamment par le registre des traitements :
    • Ce registre est l’une des obligations les plus importantes imposées par le RGPD : c’est ce registre des traitements qui va prouver la conformité de l’organisme avec le RGPD
    • Mais il n’est pas obligatoire pour les organismes de moins de 250 employés, sauf s’il existe un risque potentiel ou que l’usage des données personnelles est régulier
  • Il faut un registre par type de traitements, voici différents types de traitements quotidiens :
    • Gestion des clients et prospects (gestion des contrats, commandes…)
    • Gestion des fournisseurs
    • Gestion du personnel (dossier professionnel, mise en place d’actions de formation…)
    • Gestion de la paie du personnel
    • Gestion de la téléphonie du personnel
    • Ecoute et enregistrements des conversations sur les lieux de travail
    • Gestion des contentieux
    • Géolocalisation des véhicules des salariés
    • Système de vidéosurveillance, vidéo protection mais aussi visioconférence
    • Gestion des badges sur le lieu de travail (accès aux locaux…)…

 

mm

Auteur: Maître Joseph Suissa

Maître Joseph Suissa, avocat d’affaires au Barreau de Paris et associé du cabinet JDB AVOCATS, professionnel en droit des affaires et en droit fiscal. Aguerri aux procédures et expert en négociation.