RGPD : Le Guide complet

Le règlement général sur la protection des données personnelles – RGPD – est entré en vigueur le 25 mai 2018. Nous vous proposons dans ce guide une synthèse de l’essentiel à connaître sur cette nouvelle réglementation : Quelles sont les obligations nouvelles pour les entreprises ? Quel est le rôle du DPO ? Comment mettre en conformité son entreprise (Quelles étapes) ? Quid des contrôles de la CNIL et des sanctions en cas de manquement aux obligations du RGPD ?

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?
Sommaire :

Le règlement RGPD sur la protection des données personnelles impose de nouvelles obligations pour les entreprises

Le RGPD définit depuis 2018 le nouveau cadre juridique en matière de protection des données personnelles. Il renforce les obligations des entreprises faisant du traitement de données à caractère personnel (DCP) – il concerne par conséquent pratiquement toutes les entreprises !

Voici les principales obligations pour les entreprises :

  • Au moment de la collecte de données, les entreprises doivent obtenir le consentement clair et explicite des personnes concernées. Les entreprises doivent être transparentes sur l’utilisation qu’elles comptent faire des données collectées. Si les règles sont plus souples en B2B, la collecte de données sur des particuliers devient très encadrée. Le recueil du consentement au moment de la collecte concerne également les cookies (considérés par le législateur européen comme des données personnelles).
  • Les entreprises doivent garantir l’exercice des droits des personnes, via des procédures et des outils appropriés. Voici quelques exemples de droits consacrés ou renforcés par le RGPD : le droit d’accès, le droit à l’oubli, le droit de rectification, le droit à la limitation des traitements, le droit à la portabilité…
  • Les entreprises doivent mettre en place les mesures organisationnelles et techniques assurant un niveau optimal de sécurisation des données stockées. En cas de fuite de données, c’est l’entreprise qui est responsable. Voici quelques exemples de mesures de sécurité : analyses d’impact, cryptage des données, pseudonymisation, tests d’intrusion…
  • Toutes les entreprises faisant du traitement de DCP doivent tenir un registre recensant l’ensemble des traitements réalisés. Il doit être régulièrement mis à jour.
  • Certaines entreprises ont pour obligation de désigner un Data Protection Officer – DPO (voir section suivante).

Pour aller plus loin, découvrez notre guide complet sur le sujet : RGPD  – Quelles sont les nouvelles obligations pour les entreprises ?

Quel est le rôle du Data Protection Officer ? La désignation d’un DPO est-elle obligatoire ?

Ce sont peut-être des questions que vous vous posez en tant qu’entreprise. Devez-vous recruter un DPO ? Rappelons pour commencer que DPO est l’acronyme de Data Protection Officer. On parle parfois aussi de « Délégué à la Protection des Données ». Le DPO un rôle de chef d’orchestre. En phase de mise en conformité au RGPD, il pilote le projet. Par la suite, le DPO joue le rôle d’interlocuteur entre votre entreprise (en particulier, les responsables des traitements de données) et l’autorité de contrôle (la CNIL). Il veille en permanence à la bonne application par l’entreprise de ses obligations en matière de gestion des données personnelles.

L’article 37 du RGPD précise les cas où le DPO est obligatoire. En synthèse, la désignation d’un Data Protection Officer est obligatoire :

  • Pour les organismes publics – à l’exception des tribunaux. Par exemple : l’Etat, les collectivités territoriales, les établissements publics.
  • Pour les entreprises dont l’activité de base implique un suivi régulier et systématique des personnes concernées par les traitements.
  • Pour les entreprises traitant « à grande échelle » des données sensibles.

Cet article 37 fait l’objet de beaucoup de débats, en raison des zones de flou qu’il contient (notamment la notion de « à grande échelle »). Si vous n’êtes pas sûr de savoir si vous faites partie ou non des entreprises visées par l’article 37, nous vous invitons à entrer en contact avec l’un de nos experts juridiques en utilisant le formulaire du site.

Quoiqu’il en soit, il peut faire sens de désigner un Data Protection Officer même si votre entreprise n’y est pas obligée. Pour en savoir plus sur ce sujet, découvrez notre guide complet : « Le DPO : Est-il obligatoire ? Comment trouver le vôtre ? Externe ou interne ? ». Vous découvrez la réponse à une autre question souvent posée : faut-il internaliser ou externaliser la fonction de DPO ?

Comment mettre en conformité son entreprise au RGPD ?

La CNIL devient de plus en plus sévère vis-à-vis des entreprises ne respectant pas leurs obligations en matière de protection des données personnelles. Vous n’avez pas encore entrepris de démarche de mise en conformité ? Vous ne devez plus repousser le moment de le faire ! Voici, en résumé, les quatre grandes étapes générales d’un projet de mise en conformité au RGPD :

  • Etape 1 – Vous devez recenser l’ensemble des données à disposition de votre système d’information, qualifier les usages que vous en faites et leur lieu de stockage. Ce travail prend la forme d’une cartographie des données et des traitements.
  • Etape 2 – Vous devez analyser les écarts entre votre pratique actuelle en matière de gestion des données et les règles & obligations fixées par le RGPD. C’est la phase du diagnostic.
  • Etape 3 – Sur la base du diagnostic, vous devez construire un plan d’actions et ordonnancer les chantiers de travail en priorisant les actions les plus urgentes (par exemple : la refonte de vos formulaires web).
  • Etape 4 – La quatrième et dernière consiste à déployer de manière progressive le plan d’actions.

Les contrôles de la CNIL et les sanctions en cas de non-conformité

La Commission nationale de l’informatique et des libertés – la CNIL – est en France l’autorité administrative chargée de veiller à la bonne application du règlement RGPD. Pour en savoir plus sur cette institution, découvrez notre article : « Protection des données personnelles : Quelles sont les missions de la CNIL ? ».

Pour vérifier que les entreprises respectent leurs obligations, la CNIL peut exercer des contrôles. Les contrôles peuvent prendre plusieurs formes. On distingue les contrôles sur place, les contrôles sur audition, les contrôles en ligne et les contrôles sur pièces. La CNIL est particulièrement vigilante sur les 3 points suivants :

  • Le respect par les entreprises des droits des personnes.
  • Les traitements sur des données « sensibles » – et tout particulièrement les données sur des individus mineurs.
  • Les relations entre les responsables des traitements et les sous-traitants.

Suite à un contrôle et en cas de manquement à certaines obligations, la CNIL envoie à l’entreprise un courrier de mise en demeure. Celui-ci contient une liste des actions à mettre en œuvre et un délai maximum d’exécution. Si les actions ne sont pas réalisées dans les délais, la CNIL peut infliger des sanctions pécuniaires pouvant atteindre jusqu’à 4% du chiffre d’affaires mondial de l’entreprise – ou bien 20 millions d’euros.

Ce sont des amendes considérables qui peuvent mettre en péril la survie-même de l’entreprise. D’où l’importance, une nouvelle fois, de mettre en conformité votre entreprise. Vous pouvez vous faire accompagner dans cette démarche par un DPO ou bien un avocat expert en droit de l’informatique et des libertés.

Pour en savoir plus sur les contrôles de la CNIL et les risques en cas de manquement au RGPD, découvrez notre guide complet dédié à ce sujet : « RGPD – L’essentiel à savoir sur les contrôles & sanctions de la CNIL ».

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?

FAQ : Divorce, droit de la famille

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Il n’est pas toujours simple de s’y retrouver dans la jungle des professions juridiques. Conscient de ce problème, nous avons créé Monexpertdudroit.com pour vous aider à trouver professionnel du droit dont vous avez besoin.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.