entreprise-compatible-rgpd

Comment rendre mon entreprise compatible avec le RGPD ?

Le 25 mai 2018 se verra appliqué le Règlement Général sur la Protection des Données (RGPD). Seront concernées toutes les entreprises, quelle que soit leur nationalité ou leur domaine d’activité, qui collectent des données sur les citoyens européens.

C’est la Commission Nationale de l’Informatique et des Libertés (CNIL) qui est garante de la bonne application du RGPD en France.

Presque aucune organisation n’échappera au Règlement Général sur la Protection des Données. La preuve : en plus des entreprises, les écoles et les associations seront également concernées par le RGPD. En effet, les écoles collectent et utilisent entre autres les données personnelles sur les parents et sur les élèves. Quant aux associations, elles demandent par exemple à leurs membres de remplir des formulaires. Le RGPD concerne donc la majorité des organismes, à partir du moment où ils gèrent des données personnelles.

Pour les épauler, les organismes peuvent, voire doivent pour certain, désigner un délégué à la protection des données. La CNIL précise que la désignation d’un délégué à la protection des données est exigé pour :

  • - les autorités ou les organismes publics,
  • - les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
  • - les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

 

De fortes sanctions seront prévues en cas de non-respect de la loi. Par exemple une entreprise qui ne respectera pas le RGPD pourra être contrainte de payer une amende représentant 4% de son chiffre d’affaires annuel. Le délégué à la protection des données pourrait aussi être tenu pour responsable en cas d’infraction. La CNIL a en effet annoncé que de nombreuses formalités disparaîtront et qu’en contre-partie, la responsabilité des organismes sera renforcée.

Ainsi, comment rendre mon entreprise compatible avec le RGPD ?

5 principes fondamentaux pour rendre mon entreprise compatible avec le RGPD

D’abord, il est important de noter que le Règlement s’applique aux données des partenaires commerciaux d’une entreprise, mais aussi aux données des collaborateurs de cette entreprise.

Ensuite, il faut savoir que le règlement impose des obligations spécifiques aux sous-traitants dont la responsabilité est susceptible d’être engagée en cas de manquement.

Il y a cinq principes fondamentaux du RGPD que les entreprises concernées devront respecter :

  1. 1. Les principes relatifs au traitement des données à caractère personnel et la règlementation de ce traitement :
  • D’après les articles 5 et 6, les données à caractère personnelle doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée, qui a consenti au traitement de ses données à caractère personnel pour une ou plusieurs spécialités spécifiques.
  • Une entreprise qui, entre autres, collecte les données personnelles de ses prospects, de ses clients et de ses collaborateurs  devra s’engager à n’utiliser ces données qu’à des fins qu’elle a indiquées.

 

  1. 2. La transparence des informations et des communications :
  • D’après les articles 5 et 12,  la loi garantit aux personnes l’information nécessaire relative aux traitements auxquels sont soumises des données les concernant et les assure de la possibilité d’un contrôle personnel. Le responsable du traitement de données personnelles doit avertir ces personnes dès la collecte des données et en cas de transmission de ces données à des tiers.
  • Une entreprise met en place un formulaire de contact pour ses futurs clients, cette entreprise doit être en mesure de leur faire part de l’utilisation de leurs données personnelles. Ses futurs clients doivent pouvoir savoir pourquoi, comment et dans quel but la collecte de leurs données personnelles est effectuée.
  • Par exemple : une entreprise ayant une activité de e-commerce devra pouvoir assurer une protection des données personnelles maximale :
    • - en mettant en œuvre un registre de consentement
    • - en conservant les données tout en respectant le RGPD
    • - en sécurisant les mails transactionnels et en cryptant les mots de passe.
  • Chaque client des entreprises ayant une activité de e-commerce devra être alerté si les données qu’elle aura laissées pour s’inscrire serviront au-delà du site de e-commerce qu’elle utilise.

 

  1. 3. Les conditions applicables au consentement :
  • En mai 2017, Facebook a été sanctionné par la CNIL, qui l’a condamné à payer une amende de 150 000 euros. La CNIL avait accusé le réseau social de traiter les données personnelles de ses utilisateurs sans leur consentement. Comme l’a indiqué la CNIL dans un communiqué : « Il a notamment été constaté que Facebook procédait à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire. Il a aussi été constaté que Facebook traçait à leur insu les internautes, avec ou sans compte, sur des sites tiers via un cookie. »
  • En outre, d’après les articles 6 et 7, lorsqu’un traitement repose sur le consentement d’une personne, le responsable du traitement doit pouvoir démontrer que cette personne a donné son consentement au traitement de données à caractère personnel la concernant.

 

  1. 4. Le droit à l’effacement (ou « droit à l’oubli ») :
  • D’après l’article 17, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique.
  • Une PME doit être capable de pouvoir, si un client le lui demande, de supprimer toutes les données de ce client : ses nom-prénom, son adresse e-mail, son numéro de téléphone, etc.

 

  1. 5. Le droit à réparation et la responsabilité :
  • D’après l’article 82, une personne ayant subi un dommage matériel ou moral a le droit d’obtenir réparation du préjudice subi.
Franck Le Strat

Franck Le Strat

Corporate General Manager, isatech

 

Restons connectés

Nos derniers articles sur le sujet

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>