RGPD : Quelles sont les nouvelles obligations pour les entreprises ?

Les 5 choses essentielles à retenir sur les obligations que le RGPD impose aux entreprises

• Au moment de la collecte de données, les entreprises doivent obtenir un consentement clair et éclairé de la part des personnes.
• L’entreprise doit garantir le droit des personnes : droit d’accès, droit de rectification, droit à l’oubli, droit à la portabilité…
• Les entreprises doivent mettre en place les mesures adéquates pour assurer un niveau de sécurité optimal des données personnelles : pseudonymisation, analyses d’impact, tests d’intrusion…
• Toutes les entreprises doivent tenir un registre des traitements et le mettre régulièrement à jour.
• Certaines entreprises ont pour obligation de nommer un Data Protection Officer ou DPO.

RGPD : Les risques encourus en cas de non-respect de vos obligations

Le législateur européen a prévu des amendes très importantes pour les entreprises ne respectant pas leurs obligations vis-à-vis du RGPD. Dans certains cas (celui des PME en particulier), les sanctions pécuniaires peuvent mettre en danger la survie même de l’entreprise. L’amende peut en effet atteindre jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial de l’entreprise condamnée.

D’où l’importance de mettre en conformité votre entreprise au RGPD si ce n’est pas déjà fait. Si vous souhaitez être accompagné dans cette démarche ou tout simplement pour obtenir des conseils, nous vous invitons à entrer en contact avec un avocat en droit de l’informatique et de l’internet ou un DPO. Ces professionnels sont en mesure de vous accompagner dans la structuration de votre projet RGPD et son déploiement.

Les obligations en matière de collecte de données, de consentement et de gestion des cookies

Le recueil des consentements au moment de la collecte des données est l’un des points les plus importants du RGPD. Les entreprises doivent obligatoirement demander un consentement clair et explicite à la personne au moment de la collecte des données. 

Vous ne pouvez pas réaliser des traitements sur des données sans avoir obtenu au préalable le consentement de la part des personnes sur lesquelles vous détenez les données. 

Concrètement, au moment de la collecte (au niveau de vos formulaires web par exemple), vous devez demander le consentement (sous forme d’une case à cocher par exemple) et expliquer de manière claire la raison de la collecte, ce que vous comptez faire des données. Ce principe de transparence est la condition nécessaire pour que le consentement soit « éclairé », donné en connaissance de cause.

Une des conséquences de cette évolution réglementaire est le fait qu’il est désormais obligatoire de demander le consentement de l’internaute lorsque le site utilise des cookies. Sous la forme d’un bandeau d’information affiché à la première visite de l’internaute, le site web doit donner la possibilité à l’internaute de refuser l’utilisation des cookies (ce que l’on appelle le droit d’opposition) et doit expliquer clairement la finalité des cookies. 

Le consentement peut être retiré à tout moment par la personne. Ce qui nous amène au deuxième point.

Les obligations du RGPD concernant les droits des personnes

Toute entreprise stockant et utilisant des données à caractère personnel (les « DCP ») doit garantir les droits des personnes sur leurs données. Voici les principaux droits que consacre le RGPD :

• Le droit d’accès. Un client a le droit de connaître les données dont votre entreprise dispose sur lui. Cela implique, du côté de l’entreprise, de mettre en place les process et les outils facilitant cet accès.
• Le droit à l’oubli. Un client a le droit de vous demander de supprimer tout ou partie des données dont vous disposez sur lui.
• Le droit de rectification. Un client a le droit de vous demander de rectifier des données qu’il estime erronées.
• Le droit à la limitation des traitements, qui s’applicable à des cas précis comme par exemple les cookies.
• Le droit à la portabilité, qui permet à la personne de récupérer ses données auprès de l’entreprise et de les transférer à un tiers (en cas de changement de fournisseur de téléphonie mobile par exemple).

RGPD – Les obligations pour les entreprises en matière de sécurité des données personnelles

Les entreprises ont pour obligation de mettre en place les mesures de sécurité permettant d’assurer une sécurisation maximale de l’intégrité des données personnelles stockées dans le système d’information. C’est un point très important dans la mesure où c’est l’entreprise qui est responsable en cas de fuite de données personnelles (data leak).

Ces mesures de sécurité sont multiples : cryptage des données, pseudonymisation / anonymisation, analyses d’impact PIA (pour les données à caractère sensible), tests d’intrusion…Les entreprises ont aussi pour obligation de mettre en place des procédures en cas de fuite de données.

En cas de violation de données, l’entreprise doit immédiatement contacter la Commission Nationale de l’Informatique et des Libertés, plus connue sous l’acronyme CNIL. Cette obligation concerne aussi les sous-traitants : par exemple, les sociétés tierces hébergeant des données personnelles de l’entreprise (sociétés d’hébergement cloud, éditeurs de logiciels cloud…).

L’obligation de tenir un registre des traitements des données personnelles

Toutes les entreprises doivent obligatoirement tenir un « registre des traitements », c’est à dire un document (un fichier Excel par exemple) dans lequel sont recensés tous les traitements réalisés par l’entreprise sur les données personnelles. 

Ce document doit être régulièrement mis à jour. Il peut avoir un rôle de preuve en cas de contrôle de la CNIL.

Si votre entreprise a moins de 250 salariés (TPE ou PME), votre registre des traitements doit seulement recenser les traitements non occasionnels, les traitements potentiellement à risque et enfin les traitements portant sur des données à caractère sensible (données médicales, données judiciaires…).

Les autres obligations des entreprises liées au RGPD

Nous vous avons présenté les principales obligations à respecter. Il en existe d’autres et il serait fastidieux de toutes les énumérer. Voici quelques exemples :

• Certaines entreprises ont pour obligation de désigner un Data Protection Officer. Cette fonction peut être confiée à un salarié de l’entreprise ou à un prestataire : par exemple, un cabinet d’avocats experts en droit de l’informatique et de l’internet. Pour en savoir plus sur le DPO, nous vous invitons à découvrir notre guide complet sur le Data Protection Officer.
• Les entreprises doivent prendre les mesures nécessaires à la protection des données personnelles dès la conception du produit ou du service. C’est ce que l’on appelle le principe de Privacy by Design.
• Les entreprises ne doivent collecter que les données dont elles ont effectivement besoin. « Il faut se satisfaire du nécessaire ». Cela permet de lutter contre l’infobésité et de limiter les risques pour l’entreprise.
  Les responsables de traitement doivent définir une durée raisonnable de conservation des données.