Le RG … QUOI ?
Il y a 3 ans, le RGPD (Règlement Général pour la Protection des données) est entré en application pour l’ensemble des organisations de l’Union européenne le 25 mai 2018. Le RGPD a vocation à protéger les données personnelles des citoyens européens. Il leur confère de nouveaux droits notamment le fait de maîtriser la collecte et l’utilisation de leurs données personnelles. En effet, aujourd’hui les citoyens souhaitent être acteurs de ce qu’ils confient aux entreprises et également des transferts que leurs propres données peuvent générer.
Toutes les entreprises et les organisations sont de plus en plus sensibles au sujet de la protection des données à caractère personnel notamment les salariés, les clients, les partenaires et les fournisseurs. C’est donc pour cela que de nombreuses entreprises ont nommé, au sein de leur structure, un délégué à la protection des données ou DPO (data protection officer).
Le RGPD oblige les entreprises à respecter cinq concepts réglementaires :
- La mise en place de moyens de protection des données pour tous les systèmes d’informations des entreprises (Privacy by design).
- Un recueil du consentement du consommateur dès qu’une entreprise recueille des données à caractère personnel.
- La mise en place de procédures d’accès de l’utilisateur à ses données.
- Le droit à l’effacement ou droit à l’oubli pour tous les citoyens.
- La nomination d’un délégué à la protection des données
Qui s’en occupe ?
La CNIL (Commission nationale de l’informatique et des libertés) est l’autorité de contrôle de référence qui a été désignée pour la France.
Dès l’adoption du Règlement Général pour la Protection des données, la CNIL a autorisé une période transitoire de trois ans aux entreprises, pour leur permettre de prendre les dispositions nécessaires et de favoriser la mise en place progressive des nouvelles normes établies par la CNIL concernant la protection des données à caractère personnel sur l’ensemble du territoire de l’Union européenne.
Pendant ces trois ans, les entreprises étaient dispensées de réaliser des Analyses d’Impact sur la Protection des Données (AIPD) c’est-à-dire de réaliser des études lorsqu’un traitement des données personnelles est effectué et qu’il peut potentiellement engendrer un risque pour les droits et libertés des personnes concerné.
Cette période transitoire prend donc fin aujourd’hui, le 25 mai 2021, les AIPD deviennent donc obligatoires pour toutes les entreprises. Les contrôles de conformité au RGPD vont donc reprendre et la CNIL prendra cet élément en compte et n’hésitera pas à sanctionner les entreprises qui ne sont pas en règle.
DPO ou super héros ?
La nomination d’un délégué à la protection des données est l’un des concepts obligatoires pour être en conformité avec le RGPD. Le DPO est la personne chargée de la protection des données à caractère personnel au sein des organismes publics ou privés. Il assure le pilotage de la conformité au RGPD afin d’éviter les sanctions pour l’entreprise et il est l’intermédiaire principale de la CNIL au sein de chaque entreprise.
Ses principales missions sont :
- D’informer et de conseiller l’entreprise
- De contrôler le respect de l’entreprise au RGPD
- De réaliser des analyses d’impact (AIDP)
- D’assurer une coopération entre la CNIL et l’entreprise
- De prioriser les actions à mener
- Former le personnel concerné par le RGPD
- De documenter l’entreprise sur les nouvelles dispositions en vigueur
Le DPO est le super-héro des entreprises pour leur éviter de lourdes sanctions pécuniaires.
Et vous, où en êtes-vous : quelques questions à se poser ?
La France est en sixième position dans le classement des pays qui ont infligé le plus d’amendes pour le non-respect du RGPD, avec un total de trois millions d’euros. À la première place se trouve l’Italie qui a annoncé un total de 58,16 millions d’euros de sanctions résultant de 34 infractions.
En 2020, le montant total des sanctions infligées pour violation au RGPD par les organismes nationaux s’est élevé à 171 millions d’euros
- Quelles sont les données que je peux collecter ?
- Comment sécuriser les données de mes clients ?
- Dois-je nommer une personne pour mener à bien mon projet de conformité ?
- Combien de temps dois-je garder les données à caractère personnel ?
- Mon système informatique est-il suffisamment sécurisé pour recueillir des données à caractère personnel ?
- Les internautes qui visitent mon site internet ont-ils la possibilité de refuser la collecte de leurs données personnelles ?
- Quelles sont les sanctions de non-conformité au RGPD ?
La conformité au RGPD est un gage de sécurité et permet de créer une relation de confiance entre les organisations, les clients et les prospects, mais également un avantage concurrentiel face aux autres acteurs du marché qui ne n’auraient pas encore pris les même dispositions.
6 janvier 2021 |
0 commentaires