Le Règlement Général sur la Protection des Données (RGPD) est un référentiel qui répertorie les bonnes pratiques auxquelles doivent se conformer les organismes publics et privés qui traitent les données personnelles. Cependant, il serait réducteur de cantonner le RGPD et ses implications légales à cette seule précision. Son champ d’application et ses exigences sont bien plus larges. Cet article se propose de les aborder en évoquant entre autres les organismes concernés, les bonnes pratiques pour se conformer à ses exigences et les éventuelles sanctions en cas de manquement.
Que régit le RGPD ?
Le Règlement Général sur la Protection des Données est une disposition réglementaire qui encadre le traitement des données personnelles sur le territoire français et dans l’Union européenne. Il s’agit d’un référentiel qui organise les bonnes pratiques auxquelles doivent se soumettre les entités qui exploitent les données personnelles. Pour rappel, les données personnelles, au sens du RGPD, s’entendent comme toutes informations relatives à une personne physique identifiée ou identifiable.
Quant à la notion de traitement de données personnelles, il s’agit d’un ensemble d’opérations portant sur les données personnelles effectuées dans le but de parvenir à des objectifs précis. Parlant d’opérations, il peut s’agir entre autres de collecte, d’enregistrement, d’extraction, de transmission, de diffusion, d’interconnexion de ces données. Le RGPD permet donc d’encadrer juridiquement toutes ces opérations de traitement de données, ainsi que toutes celles qui leur sont assimilables.
Factuellement, le RGPD renforce le contrôle que les citoyens ont sur l’usage qui peut être fait de leurs données. Pour les organismes publics et privés, le RGPD régit et harmonise les règles juridiques en France et en Europe. À la faveur de ce référentiel européen, les activités numériques des entreprises se basent désormais sur un rapport de confiance vis-à-vis des internautes. Il s’applique à diverses organisations. Ne sont pas concernées, les données traitées par une personne à des fins personnelles, tant qu’elles ne sont pas liées à une activité professionnelle ou commerciale.
Qui doit se conformer au RGPD ?
Pour ce qui est de la conformité RGPD, plusieurs organisations et entreprises sont concernées. Concrètement, tous les organismes, peu importe leur taille, leurs activités et leur pays d’implantation sont concernés par le RGPD, dès lors qu’ils traitent les données personnelles, pour leur compte personnel ou non. Ainsi, dès lors que votre business est établi sur le territoire de l’Union européenne ou qu’il cible des résidents européens, vous devez harmoniser vos pratiques avec le RGPD.
Par ailleurs, les exigences du RGPD s’appliquent également aux sous-traitants qui, dans le cadre de leurs activités, traitent des données personnelles pour le compte des organismes ayant sollicité leurs compétences. C’est-à-dire que si vous traitez des données personnelles pour le compte d’autres entités, vous êtes liés par les prescriptions du RGPD, qui plus est si vous ou ces entités opérez dans l’UE ou avez des cibles dans l’espace européen. D’ailleurs, le RGPD prévoit un principe de coresponsabilité sur les données confiées par une entreprise principale à un sous-traitant.
Sur la base de ces précisions, les entreprises françaises, les grandes entreprises d’autres pays qui ciblent le marché européen et y opèrent (les GAFA entre autres) doivent se soumettre au RGPD pour exercer légalement leurs activités sur le Vieux Continent. Cependant, dans cette perspective de conformité au RGPD, faites attention aux arnaques. Veillez à faire appel à des prestataires de confiance si vous êtes une start-up, une TPE ou une PME. De même, informez-vous sur les risques d’arnaques au RGPD évoqués par la Commission nationale de l’informatique et des libertés (CNIL) en France.
Comment faire pour respecter le RGPD ?
Si la nécessité de se conformer au RGPD paraît évidente, en pratique, comment parvenir à cet idéal ?
Élaborez un registre de traitement des données
Le registre de traitement des données est un document qui met en exergue la vision d’ensemble applicable aux données collectées. Pour l’élaborer, vous devez identifier les activités de l’entreprise qui nécessitent de traiter des données personnelles. En ce sens, il importe de créer une fiche pour chaque activité en indiquant entre autres détails les objectifs poursuivis, les personnes pouvant accéder aux données, la durée de conservation des données, etc. Le registre peut être tenu par un DPO.
Désignez un DPO
La désignation d’un DPO (Délégué à la Protection des Données) est aussi nécessaire dans le cadre de la mise en conformité RGPD. Elle s’impose si :
- vous êtes un organisme public,
- vos activités impliquent un suivi régulier, systématique et à grande échelle des personnes,
- vos activités de traitement se rapportent à des données sensibles ou de nature pénale.
Sécurisez les données
Le DPO ou le responsable du traitement a l’obligation de garantir la sécurité des données personnelles que l’entreprise collecte. L’objectif est de réduire autant que possible le risque de pertes de données ou de piratage, en veillant au respect de certains principes comme :
- le principe d’intégrité,
- le principe de disponibilité,
- le principe de confidentialité.
En pratique, il existe plusieurs solutions pour sécuriser les données personnelles que vous traitez. La pseudonymisation et le chiffrement en sont des exemples.
Respectez les droits des personnes concernées
Le RGPD a la particularité d’inclure les personnes concernées dans le processus de contrôle de l’utilisation qui est faite de leurs données personnelles. Cette implication se matérialise à travers différents droits que le RGPD accorde aux personnes dont vous traitez les données personnelles.
Il s’agit du :
- droit d’accès,
- droit d’opposition,
- droit de rectification,
- droit à la portabilité,
- droit à la limitation du traitement.
Envisagez d’autres actions
D’autres actions peuvent aussi aller dans le sens de la conformité RGPD. Ainsi, pour vous conformer au RGPD, vous pouvez aussi :
- recenser les données,
- faire preuve de transparence dans le traitement des données,
- maîtriser l’utilisation faite des données collectées,
- faire preuve d’une vigilance accrue si vous traitez des données à risque (orientation sexuelle, origines ethniques, opinions religieuses et politiques, informations biométriques et génétiques, etc.),
- identifier, anticiper/gérer les risques liés au traitement en tenant compte de la qualité et de la quantité des données.
Quelles sont les sanctions en cas de non-respect ?
En cas de non-respect du RGPD, vous vous exposez à différentes sanctions. Elles sont fonction de la gravité du manquement et de l’appréciation que la CNIL en fait. Dans tous les cas, il s’agit généralement de/d’ :
- sanctions pécuniaires (2 à 4 % du CA annuel et pouvant atteindre les 20 millions d’euros),
- avertissement,
- interdiction de traiter les données,
- mise en demeure de l’organisme de se conformer au RGPD,
- versement de dommages et intérêts.
Si ces sanctions sont souvent prononcées singulièrement, elles peuvent être cumulatives dans les cas graves.
Soyez le premier à commenter