Vous avez une actualité
particulière ?

Envoyez-nous de l’info et faites en profiter le réseau ECOBIZ.

RGPD : ce qui change pour les entreprises

Auteur de la publication : - Date de parution :

Entré en application le 25 mai 2018 dans l'ensemble des 28 États membres de l'UE, le règlement n° 2016/679 du Parlement Européen, dit règlement général sur la protection des données (RGPD), constitue le texte de référence européen en matière de protection des données à caractère personnel. Me Emmanuelle NEVO, Avocat Sénior Département Droit économique Propriété intellectuelle – Technologies de l’information, nous éclaire sur la question.

Me Emmanuelle NEVO, Avocat Sénior Département Droit économique Propriété intellectuelle – Technologies de l’information

Le RGPD, qu'est-ce que c'est ?

Ce nouveau règlement vient remplacer les réglementations propres à chaque Etat membre de l’UE en matière d’Informatique et Libertés afin de les uniformiser. Il bouleverse les principes qui gouvernaient jusqu’alors la matière via notamment le principe de self-assessment et met à la charge des organismes qui utilisent, collectent et, plus généralement, traitent des données personnelles, des obligations renforcées.

Qui est concerné par le RGPD ?

Ce règlement s’applique à toute entité juridique – entreprises privées, collectivités, associations… - qui traite de données personnelles, c’est-à-dire toute information relative à une personne physique identifiée ou identifiable, qu’elle soit interne à l’entité juridique (collaborateurs) ou externe (clients, prospects, fournisseurs, etc.). Une adresse IP, une plaque d’immatriculation ou encore un numéro de carte bancaire par exemple, constituent des données à caractère personnel. A savoir que ce règlement a une portée mondiale, c’est-à-dire qu’il sera applicable à toutes les entités juridiques situées hors UE et qui traitent de données personnelles de personnes physiques situées sur le territoire européen.

Concrètement, qu’est-ce que le RGPD change pour les entreprises ?

Les entreprises doivent se familiariser avec la notion de « Privacy by design », qui implique de prendre en amont de tout projet, dans le cadre de la conception de tout produit ou service, les mesures nécessaires pour garantir vie privée des individus et la protection des données personnelles (prise en compte de ces notions dans la conception des systèmes, mise en place de politiques de sécurité, de confidentialité, minimisation des données…) et celle d’« accountability », le responsable de traitement devant s’assurer que le traitement est conforme au règlement et, en cas de contrôle, de pouvoir en justifier. Les déclarations préalables auprès des autorités sont supprimées au profit d’un système d’auto-évaluation. Les sociétés et autres acteurs concernés devront, dans certaines circonstances, tenir en interne un registre des traitements de données personnelles dans lequel elles indiqueront notamment la finalité de chaque traitement de données personnelles, les catégories de données concernées et les personnes amenées à traiter de ces données. Dans certains cas, un délégué à la protection des données personnelles doit également être désigné.

Quelles sanctions risque une entreprise qui ne serait pas en conformité ?

Avec ce nouveau règlement, les sociétés s'exposent à des sanctions plus lourdes. Jusqu'ici limitée à 3 millions d'euros en France, l'amende pour non-respect des règles du RGPD peut grimper jusqu'à 20 millions d’euros ou 4 % du chiffre d'affaires mondial de l'entreprise contrevenante. Outre ces sanctions, il convient de préciser qu’une non-conformité expose également les entreprises à une perte de confiance et une atteinte à leur image pouvant notamment entrainer une perte de chiffre d’affaires, les décisions de la CNIL étant publiées et souvent relayées par les médias.

Quels conseils donneriez-vous aux entreprises pour se préparer au mieux ?

Première étape : réalisez un état des lieux / audit des mesures qui ont déjà été prises en interne et de leur conformité. Il est nécessaire de répertorier l’ensemble des traitements réalisés dans l’entreprise : quelles données sont collectées ? Pour quelles finalités ? Quelle durée ?Le consentement des personnes concernées a-t-il été sollicité ?...

Deuxième étape : la mise en conformité qui passera notamment par la mise à jour des mentions légales présentes sur le site Internet ou encore la mise en place et la tenue du registre.

Il va être important aussi de sensibiliser l’ensemble des équipes à cette nouvelle réglementation afin d’éviter les mauvaises pratiques en interne.

Il ne faut pas hésiter à se faire accompagner car les obligations liées à ce règlement sont autant juridiques (contrats avec les clients, les prestataires, mentions légales, process internes) que techniques (sécurité et intégrité des données collectées), donc parfois difficiles à appréhender.

En savoir + : www.cnil.fr

Informations

Rédacteur :

Animatrice Localbiz

Étiquette :