Entré en application Le 25 mai 2018, le règlement européen incite les différents organismes à contrôler, assurer et renforcer la protection des données, principalement les données personnelles qui sont stockés et collectés.

Que contient ce décret ?

Le décret (loi n° 2018-493) détaille la procédure à suivre lorsqu’une personne concernée par un traitement de données personnelles formule une demande relative à ce traitement, par exemple s'il souhaite consulter les données qui le concerne ou s'il souhaite disparaître définitivement d'un fichier client.

Il énonce les modalités à remplir vis à vis de la Cnil (Commission nationale de l’informatique et des libertés).

Enfin il requiert une analyse d’impact lorsque le traitement de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques.

Vous pouvez consulter en détail tous les éléments concernant la RGPD (son origine, les changements, les éléments clés, ...) :

https://www.cnil.fr/fr/comprendre-le-rgpd

Les sanctions

Si l’autorité de contrôle est la CNIL, les sanctions varient en fonction de la gravité des violations relevées.
Du simple avertissement ou la mise en demeure adressée à l’organisme, l'entreprise concernée peut se voir suspendre temporairement ses traitements de données jusqu'à être passible d'une amende sur le chiffre d’affaires.

Dans les cas de défaut critique de tenue d’un registre des traitements, de faille décelée ou encore l'absence d’une étude d’impact sur la vie privée, le montant de l’amende peut atteindre 2 % du chiffre d’affaires de l’entreprise. Ce montant peut grimper à 4 % du chiffre d’affaires ou atteindre les 20 millions d’euros.

Quelles sont les étapes pour mettre mon entreprise en conformité ?

  1. Désigner un pilote
    En d'autres termes, il vous faut désigner une personne qui sera en charge de piloter la gouvernance des données personnelles. Parmi ses rôles, il doit informer les différentes composantes de votre entreprise, conseiller et contrôler.
    → En savoir plus
  2. Cartographier les traitements des données
    Commencez par recenser de façon précise vos traitements de données personnelles.
    L'élaboration d'un document unique qui fera office de registre des traitements vous permettra de faire le point.
    → En savoir plus
  3. Prioriser les actions à mener
    A partir de votre registre, identifier les points à améliorer en priorité afin de garantir la protection des données personnelles.
    → En savoir plus
  4. Gérer les risques
    Selon de degret de risque, vous devez effectuer une analyse d'impact relative à la protection des données permettant de démontrer la conformité du traitement.
    → En savoir plus
  5. Organiser votre entreprise en interne
    Pour assurer un haut niveau de protection des données personnelles, vous devez mettre en place des procédures internes pour garantir en permance la prise en compte de la protection des données.
    → En savoir plus
  6. Établir une documentation et la maintenir à jour
    Vous devez constituer et regrouper la documentation et enregistrer les actions et documents réalisés à chaque étape.
    Il est important de maintenir ces documents et registres à jour et de façon continue.
    → En savoir plus

à lire également