RGPD : ce qu’il faut retenir

Quelles évolutions et quels impacts pour vous, professionnel ? Vous trouverez ici les éléments clés de compréhension.

RGPD Lexéa.jpg

Le Règlement Général sur la Protection des Données (RGPD) entrera en application le 25 mai prochain*. Face aux nouvelles tendances de consommation liées au web, ce texte vise à renforcer le droit des personnes physiques lorsque des entreprises collectent leurs données personnelles. Créant également de nouvelles obligations en matière de cyber-sécurité, il devrait permettre aux entreprises de mieux se prémunir contre les cyber-attaques. 

Quelles évolutions et quels impacts pour vous, professionnel ? 

3 questions à Valérie B., chef de marche protection juridique et François C., juriste expert en informations juridiques pour les professionnels. 

Qui est concerné par RGPD ? 

L'application du RGPD concerne, entre autres, les entreprises et les associations dont l'activité nécessite le traitement des données à caractère personnel des résidents de l'Union Européenne. Les données personnelles sont les éléments qui peuvent être utilisés pour identifier un individu tels que le nom, les adresses e-mail et IP, le numéro de téléphone, les coordonnées GPS. Une entreprise basée aux Etats-Unis, comme Google par exemple, est concernée par cette réglementation puisqu'elle traite des données de résidents de l'Union Européenne. Bien entendu, les entreprises situées en France seront touchées différemment en fonction de leur ampleur et de la sensibilité des données collectées. Ainsi, une société de surveillance utilisant des caméras pour sécuriser un centre commercial sera tenue d'appliquer le RGPD puisque son activité repose sur du traitement de données à grande échelle. Tandis qu’un boulanger dont l'activité principale ne repose pas sur la collecte de données ne sera pas obligé d'appliquer ce règlement. En cas de non-respect de la réglementation, les sanctions peuvent atteindre jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires. 

Quels conseils donneriez-vous pour respecter cette réglementation ?

Si vous êtes concernés par le règlement, il vous faut cartographier et répertorier tous vos traitements des données personnelles et les actualiser régulièrement. La CNIL peut demander à consulter ce registre qui doit comporter l'identité et les coordonnées du responsable de traitement, le destinataire des données et le but de la collecte. La CNIL met à disposition un logiciel gratuit pour vous aider à mettre en place les bons mécanismes et procédures internes permettant de démontrer votre bonne foi en cas de contrôle ou de défaillance : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil. Il est indispensable de bien conserver tous les documents prouvant la mise en conformité.

Vous devez par ailleurs vous assurer que tous les prestataires avec lesquels vous traitez appliquent également cette réglementation. Il est donc essentiel d'actualiser les clauses des contrats de prestation. La responsabilité est portée par les deux parties qui devront, en cas de contrôle, prouver qu'elles respectent les règles de traitement de données. Si les sous-traitants sont confrontés à une fuite de données, ils devront vous en informer. 

Vos employés doivent également connaître les règles de traitement des données confidentielles liées à leur consultation, modification ou suppression. Vous devez donc les sensibiliser et sécuriser leurs postes de travail. 

Enfin, si le traitement des données est au cœur de votre activité, vous devez désigner un Data Protection Officer dont le rôle consistera à s'assurer de la conformité des process relatifs à la protection des données et aux évolutions réglementaires et à répondre aux questions de la CNIL. Au-delà de l'aspect réglementaire, ce règlement est l’opportunité de remettre à plat vos procédures internes, de revoir votre sécurité informatique ainsi que votre système de conservation, d'archivage et de purge des données. 

Comment DAS vous accompagne dans ces évolutions ? 

DAS propose un accompagnement adapté à chaque professionnel et à chaque situation. Notre équipe d'experts juridiques, formée aux dernières réglementations, apporte les réponses aux questions les plus pointues. Vous pouvez les consulter pour identifier les impacts propres à votre entreprise, bénéficier d'informations en matière de réglementation cyber ou encore être accompagné par téléphone en cas de contrôle de la CNIL. Les juristes peuvent également vous guider dans la mise en place de clauses spécifiques dans les contrats de prestation. Enfin, DAS met à votre disposition des lettres-types, telles que la notification à la CNIL en cas de violation de données ou encore la procédure disciplinaire en cas de non-respect de la réglementation par un salarié.

*sous réserves des éventuelles modifications contenues dans la loi française informatique et libertés en cours d’adaptation.