Les organismes privés et publics traitent au quotidien des données personnelles. Si la confidentialité et la sécurité de ces données ont toujours été incertaines, le Règlement Général sur la Protection des Données y a mis fin, depuis son entrée en vigueur en mai 2018. Son objectif est d’assurer la sécurité maximale des données sensibles des ressortissants européens. Presque toutes les entités sont concernées par son application.

 

Qui sont concernés par le nouveau règlement ?

Le règlement européen concerne tous les organismes qui réalisent des opérations de traitement de données personnelles. Même si l’organisme en question n’est pas implanté sur le territoire européen mais qu’il collecte des données de citoyens européens, il doit assurer la conformité avec le RGPD. Cette nouvelle loi ne fait pas de distinction entre la taille et l’effectif des entreprises.

Dans la mise en œuvre du RGPD, le responsable du traitement, qui est généralement l’employeur, est la personne chargée de s’assurer que le traitement des données est conforme aux exigences du règlement. La mise en conformité RGPD est ainsi devenue l’un des principaux challenges des entreprises, car c’est une tâche très complexe, malgré les prescriptions de la CNIL.

RGPD règlement : les 6 actions obligatoires

Pour être en conformité, la CNIL recommande de mettre en place 6 actions :

 

La désignation d’un DPO

Le Délégué à la protection des données ou DPO est le pilote de la conformité RGPD. C’est un acteur transparent qui est l’organe de contact des autorités de contrôle. Sa nomination est obligatoire au sein des entités qui traitent des données sensibles.

 

Le recensement des fichiers

L’établissement d’un registre des traitements est une obligation pour tout organisme de plus de 250 salariés. Cette action permet de déterminer les principales activités de l’entreprise qui nécessitent de collecter et de traiter des données personnelles.

 

Le repérage des traitements à risque

Tous les traitements de données personnelles doivent être conformes au RGPD. Certains d’entre eux nécessitent une plus grande vigilance. En effet, le texte rgpd règlement énumère quelques critères pour caractériser une donnée de « sensible ». Si la donnée personnelle répond à au moins deux d’entre eux, une analyse d’impact devra être réalisée.

 

Le respect des droits des personnes

Les salariés doivent être mis au courant des informations liées à la collecte et au traitement des données à caractère personnel. Les organismes sont tenus de respecter les droits des personnes concernées en permettant à tout moment la mise en application de ces droits (droit d’accès, droit d’opposition, droit de rectification, droit à l’oubli, droit à la portabilité et droit à la limitation du traitement).

 

La sécurisation des données

La sécurité des données peut être assurée grâce à une limitation des risques de piratage ou de perte des données. Pour cela, il est conseillé de modifier régulièrement les mots de passe et de mettre à jour les logiciels et les antivirus.

La garantie du respect du RGPD sécurité en cas de sous-traitance

Tout comme les responsables des traitements, les sous-traitants sont soumis aux mêmes obligations de sécurisation des données.

 

Les sanctions prévues en cas de non-conformité

Si les organismes ne prennent pas les mesures de sécurité nécessaires pour assurer la protection de la vie privée et le respect des droits et libertés des personnes physiques concernées, ils risquent de graves conséquences. La CNIL sera en effet en droit de prononcer différentes sanctions :

  • Un avertissement
  • Une injonction pour stopper le traitement de données à caractère personnel en cause
  • La réduction ou l’effacement des données
  • L’ordre de satisfaire les demandes d’exercices de droits des personnes concernées
  • La suspension des flux de données

Une peine d’amende est aussi à prévoir. Son montant s’élève à 2 ou 4% du chiffre d’affaires annuel de l’entité.