Le RGPD est entré en application depuis maintenant deux ans. Dune vous rappelle ses points principaux.
- Grands principes du RGPD
Toute entreprise (ou administration publique ou association, par exemple) doit respecter certains principes lorsqu’elle met en place un traitement de données à caractère personnel, notamment :
– principe de finalité : les données sont collectées dans un but précis, légitime et avec une base légale ;
– principe de proportionnalité et pertinence : seules les données nécessaires à la finalité du traitement peuvent être collectées. Rappelons que les données collectées doivent être exactes et mises à jour, si nécessaire ;
– principe de conservation des données : les données ne peuvent être conservées que pour une durée déterminée ;
– principe de sécurité des données : les données doivent être conservées de manière à garantir leur sécurité et leur confidentialité ;
– principe de transparence : les personnes dont les données sont collectées doivent être informées du traitement de leurs données et des droits dont elles disposent.
Afin d’accompagner les entreprises dans leur conformité, la Commission Nationale de l’Informatique et des Libertés (« CNIL ») a élaboré plusieurs documents et outils, disponibles sur son site internet.
- Responsabilisation des acteurs
Le 25 mai 2018 a sonné le glas des déclarations à la CNIL.
Désormais, toute entreprise doit être en mesure de prouver qu’elle a mis en place des procédures permettant de respecter les grands principes du RGPD.
Il est ainsi obligatoire de tenir (et mettre à jour régulièrement) un registre de traitement, recensant tous les traitements mis en œuvre au sein d’une entreprise, notamment les traitements liés à la gestion des ressources humaines et à la gestion de la clientèle, et comprenant des informations relatives aux durées de conservation des données, aux mesures de sécurité ou encore aux éventuels transferts de données en dehors de l’Union Européenne.
De la même façon, une entreprise est invitée à documenter les analyses d’impact qu’elle mènerait dans le cas où un traitement présenterait un risque pour la vie privée.
- Sanctions
Les autorités de protection des données n’hésitent plus à sanctionner lourdement des entreprises. Le montant des amendes administratives peut, en effet, aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial d’une entreprise.
Ainsi, la CNIL a pu infliger une amende de 500.000 euros à une société n’ayant pas respecté, entre autres, le droit des personnes, le principe de pertinence des données (les fichiers contenant des commentaires sur la santé des personnes ou injurieux), et n’ayant pas coopéré avec la CNIL.
La CNIL a également pu infliger une amende de 180.000 euros à une société intermédiaire en assurance pour défaut de sécurité des données.
Les sanctions sont donc de plus en plus nombreuses et importantes : la conformité au RGPD n’est pas à négliger.