Depuis quelques temps, les médias parlent de l’obligation, pour les entreprises, de respecter, à compter du 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données). Mais en quoi consiste ce RGPD ? Quelles obligations s’imposent à vous ? Que devez-vous faire ?
RGPD : une protection des données personnelles
Le RGPD, c’est quoi ?
Le RGPD est un règlement européen qui entrera en vigueur le 25 mai 2018. Il a vocation à remplacer l’actuelle réglementation qui oblige les entreprises qui collectent et traitent des données personnelles à respecter des formalités déclaratives auprès de la Cnil.
En contrepartie de la fin des obligations déclaratives, les entreprises sont responsabilisées : c’est le principe d’« accountability ». Les entreprises auront l’obligation de mettre en œuvre des mécanismes et des procédures internes permettant de respecter les règles relatives au RGPD. Et il faudra justifier du respect de cette obligation.
Comment respecter le RGPD ?
D’ici le 25 mai 2018, les entreprises doivent avoir réalisé une cartographie des données qu’elles sont susceptibles de collecter (éventuellement par l’intermédiaire d’un prestataire externe). Le cas échéant, elles doivent également tenir un registre recensant l’ensemble des données collectées et réaliser une étude d’impact (cette étude est obligatoire lorsque les données traitées peuvent porter atteintes aux droits et libertés des personnes).
En outre, les entreprises doivent s’assurer (et prouver !) que l’information donnée au sujet de la collecte des données personnelles, de leur traitement et de leur protection est claire, intelligible et aisément accessible. Et cela suppose que l’internaute ou le tiers ait donné son consentement à la collecte et au traitement de ses données personnelles (déclaration écrite, case cochée, etc.).
Le cas échéant, une entreprise peut être amenée à nommer un « Data Personnal Officer » (délégué à la protection des données personnelles en français). Il peut s’agir d’un salarié ou d’une personne externe à l’entreprise.
RGPD : pour qui ?
Ces dispositions ne s’appliquent pas seulement aux relations que les entreprises peuvent entretenir avec des clients ou prospects : elles ont, en effet, également vocation à s’appliquer au traitement RH des données concernant leurs salariés.
RGPD : quelles sanctions ?
Attention : le non-respect de la règlementation sur la protection des données personnelles pourra être sanctionné d’une amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise.
RGPD : un (bon) conseil à suivre !
En raison des enjeux importants de cette mise en conformité, il est conseillé aux entreprises de faire appel à des développeurs informatiques et à leurs conseils.
Source : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE