RGPD

RGPD : quels impératifs juridiques pour les entreprises ?

L’application du RGPD en entreprise ne repose pas uniquement sur l’adoption de nouveaux outils, comme un logiciel de File Analysis ou d’archivage optimisé. La mise en conformité avec ce texte va en effet supposer de définir une véritable stratégie juridique et réglementaire. Celle-ci permettra de s’assurer, en cas de contrôle, de ne pas risquer d’amende.

La désignation d’un DPO, étape prioritaire

Première étape lorsque l’on veut appliquer le RGPD en entreprise ? La désignation d’un DPO, ou Délégué à la protection des données. Certes, il n’est obligatoire que dans les cas suivants :

  • Les autorités ou les organismes publics (les administrations, les ministères…) ;
  • Les entreprises dont les activités imposent de réaliser un suivi « régulier et systématique », à grande échelle, des personnes ;
  • Les organismes dont les activités de base leur imposent de traiter « à grande échelle » des données considérées comme sensibles (les données génétiques, biométriques, afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale…) ou des données en lien avec des condamnations pénales et/ou des infractions.

Vous ne vous reconnaissez pas dans cette description ? Mieux vaut être certain de ne pas être concerné avant de mettre l’option DPO de côté. Pour cela, contactez un avocat ou un expert de la CNIL, lequel pourra vous aider à déterminer si vous rentrez dans les cases prévues par le RGPD. Dans tous les cas, n’oubliez pas que, DPO ou non, toutes les entreprises doivent assurer aux consommateurs d’avoir accès aux droits prévus par le RGPD : consultation des données les concernant, modification, suppression, limitation de l’accès, transfert à un autre acteur économique…

Un renforcement du dispositif contractuel

Vous recueillez les données des consommateurs dans le cadre de vos activités ? Veillez à ce que leur accord soit clairement formulé dans les documents que vous leur soumettez. Ainsi, vous avez l’obligation de demander au consommateur l’autorisation de collecter et d’utiliser ses données personnelles afin que leur traitement soit validé et accepté par la CNIL. Attention, pour obtenir cette autorisation, les cases prévues à cet effet (« J’accepte que mes données personnelles soient utilisées » par exemple) ne peuvent désormais plus être précochées. Enfin, notez que les autorisations obtenues ne peuvent plus être considérées comme irrévocables et « globales » : le consommateur bénéficie d’un droit d’opposition à l’utilisation de ses données à des fins de marketing direct, et d’un droit d’opposition au profilage selon les informations qu’elles contiennent.

La réalisation d’études d’impacts

Les études d’impacts constituent l’un des éléments de réassurance, destinés à la CNIL ou à tout autre organisme de contrôle. Si elles ne sont pas obligatoires, elles constituent un point intéressant du RGPD, puisqu’elles vont permettre aux responsables de traitements (ainsi qu’aux fournisseurs de solutions permettant ces traitements) de justifier du niveau de garantie proposé en termes de protection des données. Visant les traitements considérés comme « à risque », elles peuvent être réalisées à différents moments de l’application du RGPD. C’est un investissement, certes, mais qui prend tout son sens à la lecture des sanctions potentielles pour non-respect du RGPD !

RGPD : les sanctions
Le texte du RGPD est clair sur les sanctions encourues par les contrevenants au RGPD : les amendes administratives pourront s’élever à 10 millions d’euros ou à 4 % du chiffre d’affaires annuel mondial de l’entreprise – c’est le montant le plus important qui sera retenu par l’autorité compétente. Autant dire que se mettre en conformité n’est plus une option !

 

L’application du RGPD doit se faire dans le respect des règles édictées par ce nouveau texte européen. Au besoin, n’hésitez pas à vous faire accompagner pour être certain de ne commettre aucun impair : certes, la CNIL pourra se montrer conciliante les premiers temps. Mais elle n’hésitera pas à « faire des exemples », et sa clémence — largement hypothétique rappelons-le — ne durera qu’un temps !