LA PROTECTION DES DONNEES PERSONNELLES

Le 25 mai, le règlement général sur la protection de données personnelles (RGPD) est entré en vigueur.

Cette nouvelle règlementation est destinée à l’ensemble des entreprises ou associations qui traitent des données à caractère personnel informatisées ou non se rapportant à une personne identifiée ou identifiable, que celle-ci intervienne dans un cadre professionnel ou personnel.

Le champ d’application de cette réglementation s’applique pour les données dont le traitement intervient sur le territoire européen mais également aux traitements des données effectuées par un sous-traitant situé sur ce territoire, que le traitement ait lieu ou non dans l’Union.

Les principes fondamentaux sont maintenus : loyauté, finalité proportionnalité, durée de conservation, sécurité, respect des droits des personnes. En revanche la RGPD accorde de nouveaux droits aux individus. Ceux-ci bénéficient dorénavant du droit à l’oubli et du droit à la portabilité des données dans des conditions toutefois limitatives.

A effet du 25 mai 2018, Il conviendra notamment  (ou de commencer à ):

  • De Cartographier les traitements des données à caractère personnel en tenant un registre https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.rtf
  • De s’assurer que les données collectées le sont à des fins spécifiques, limitées et légitimes, et qu’elles sont parfaitement protégées et ne peuvent être divulguées à des tiers. Dans le cas contraire, la responsabilité de leur détenteur pourrait être recherchée,
  • D’être en mesure d’informer les intéressés sur l’utilisation qui sera faite de leurs données personnelles, ces derniers ayant le droit de les consulter et d’en demander la modification ou la suppression,
  • De désigner, ou non (en fonction des obligations pesant sur l’entreprise) un délégué à la protection des données.

Toute action mise en œuvre devra être documentée et conservée aussi bien au départ qu’au cours des différentes étapes du suivi de la conformité. Ainsi, avec la RGPD, on passe d’une logique déclarative avec un système de contrôle a priori, à une logique de responsabilité avec un système de contrôle a posteriori

Les sanctions financières prévues sont lourdes dans la mesure où la condamnation maximum peut correspondre à 4% du CA mondial de l’entreprise concernée ou 20 millions d’euros, si cette seconde somme est plus élevée.

Afin d’accompagner les entreprises, la CNIL a publié sur son site de nombreux documents utiles que vous pourrez consulter via le lien ci-après. https://www.cnil.fr/fr/la-cnil-et-bpifrance-sassocient-pour-accompagner-les-tpe-et-pme-dans-leur-appropriation-du-reglement

Retour aux actualités