Le RGPD est entré en vigueur le 25 mai 2018,

 

Qu’est-ce que le RGPD ?

Que signifie RGPD : signification et définition

 

Le règlement européen général sur la protection des données (RGPD) est construit autour de deux principes clés.

 

  1. Donner aux citoyens et aux résidents Européens plus de contrôle sur leurs données personnelles ;

 

  1. Simplifier la réglementation pour les entreprises internationales dotées d’une réglementation unificatrice à l’échelle de l’Union européenne (UE).

 

Il est important de garder à l’esprit que la RGPD s’appliquera à toutes les entreprises qui traitent les données personnelles des citoyens de l’UE, ce qui signifie qu’elle pourrait également s’appliquer aux entreprises établies en dehors de l’UE.

 

Aperçu de la RGPD

 

Les entreprises dont les activités impliquent un suivi « régulier ou systématique » des personnes concernées à grande échelle (traitement de nombreuses informations personnelles) ou qui traitent de gros volumes de «données de catégories spéciales» doivent employer un délégué à la protection des données (DPD).

 

Le rôle du DPD sera notamment de :

 

  • S’assurer que l’entreprise se conforme aux obligations du RGPD ;

 

  • Le point de contact pour toutes les requêtes de protection des données.

 

Le RGPD s’appliquera à toute entreprise qui traite les données personnelles des citoyens de l’UE, y compris ceux qui ont moins de 250 employés (contrairement à l’incompréhension commune).

 

Les infractions graves (c’est-à-dire toute violation ayant un impact sur les droits des personnes concernées) doivent être signalées immédiatement à la CNIL. Cela devrait être dans les 24 heures si possible, mais au moins dans les 72 heures.

 

Les individus auront plus de droits sur la façon dont les entreprises utilisent leurs données, et notamment le :

 

  • droit à l’effacement des données à caractère personnels ;

 

  • droit à la portabilité des données personnelles ;

 

Le droit à l’oubli permet à un citoyen dont les données à caractère personnels ont fait l’objet d’un traitement informatisé de demander à ce qu’elles ne soient plus utilisées et cela sans avoir à motiver ou justifier sa demande.

 

Le non-respect par une entreprise des dispositions issues du RGPD peut conduire la CNIL à prononcer des sanctions administratives de deux niveaux :

  • Une amende de 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour le non-respect des obligations incombant au responsable du traitement et au sous-traitant, à l’organisme de certification et à l’organisme de suivi des codes de conduite ;
  • Une amende de 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour le non-respect de l’obligation de consentement (obtention du consentement par des moyens détournés) et les autres droits des personnes concernées, l’obligation de mettre en place des mesures spécifiques en cas de transferts des données dans un pays non européen, des obligations découlant des droits des États membres, des injonctions et autres mesures de remise à l’ordre prononcées par la CNIL.

 

Liste de contrôle RGPD pour les petites entreprises

 

Rappelez-vous que votre liste de contrôle doit prendre en compte les employés et les fournisseurs passés et présents ainsi que les clients (et les données des autres personnes que vous saisissez, stockez et utilisez).

 

  1. Avoir connaissances des données de vos clients.

 

Vous devez démontrer une compréhension des types de données personnelles (par exemple, nom, adresse, email, coordonnées bancaires, photos, adresses IP) et des données sensibles (ou de catégorie spéciale) (par exemple, informations sur la santé ou opinions religieuses). , d’où ils viennent, où ils vont et comment vous utilisez ces données.

 

  1. Obtenir le consentement de vos clients pour pouvoir traiter leurs données personnelles.

 

Dans le cadre de la gestion marketing de votre entreprise, vous devez vous assurer que le consentement doit être clair, spécifique et explicite. Cela passe par la mise en place d’outils permettant de recueillir le consentement sans ambiguïté (formulaire de consentement).

 

  1. Regardez attentivement vos mesures et politiques de sécurité.

 

Il est important de mettre à jour les politiques de sécurité pour qu’ils soient compatibles avec la RGPD, et si vous n’en avez pas, mettez-les en place. Une large utilisation du cryptage pourrait être un bon moyen de réduire la probabilité d’une grosse pénalité en cas de violation.

 

  1. Préparez-vous à répondre aux demandes d’accès dans un délai d’un mois.

 

Les droits conférés aux utilisateurs de vos services d’accéder a leurs données personnelles  d’accès changent, et dans le cadre du GDPR, les citoyens ont le droit d’accéder à toutes leurs données personnelles, de rectifier tout ce qui est inexact et de s’opposer au traitement dans certaines circonstances ou d’effacer complètement leurs données personnelles. Chaque demande d’accès, de rectification ou d’opposition doit être traité dans un délai d’un mois, à compter de la date originale de la demande.

 

  1. Formez vos employés et signalez une violation grave dans les 72 heures.

 

Assurez-vous que vos employés comprennent les enjeux du traitement des données à caractère personnelles et élaborez des processus permettant de détecter tout manquement. Il est également important que toutes les personnes impliquées dans le traitement de données personnelles au sein de votre entreprise soient conscientes de la nécessité de signaler toute erreur au DPO ou à la personne ou à l’équipe responsable de la conformité des données, car c’est la cause la plus fréquente de violation de données.

 

  1. Faites preuve de diligence raisonnable dans votre chaîne d’approvisionnement.

 

Il est primordial de s’assurer que l’ensemble des fournisseurs et des sous-traitants travaillant avec vous sont en conformités avec la RGPD pour ne pas être impâctés par des infractions et des pénalités découlant de leurs manquements. Vous devrez également vous assurer que les accords conclus avec vos fournisseurs et vos partenaires couvrent les obligations issues de la mise en place de la RGPD (ce qui leur impose des obligations importantes, telles que la nécessité de vous avertir rapidement en cas de violation de données).

 

  1. Créez des avis de traitement équitables.

 

Sous la RGPD, vous devez indiquer aux personnes ce que vous faites avec leurs données personnelles.

 

  1. Déterminez si vous devez employer un délégué à la protection des données (DPD).

 

La plupart des petites entreprises seront exemptées. Toutefois, si les activités de base de votre entreprise impliquent un suivi « régulier ou systématique » des personnes concernées à grande échelle ou impliquent le traitement de gros volumes de « données de catégorie spéciale», vous devrez nommer un  délégué à la protection des données (DPO).

%d blogueurs aiment cette page :