Le Règlement Général sur la Protection des Données (RGPD) arrive à grands pas et vous entendez de plus en plus parler de cet acronyme qui ne vous rassure pas vraiment.
Après tout, pourquoi s’inquiéter ? « Ce n’est qu’une énième législation européenne prise par des parlementaires pour justifier leur salaire ». Permettez-nous de vous dire que vous vous trompez ! Un Règlement européen, c’est juridiquement très contraignant, et celui-ci l’est particulièrement pour les entreprises et les organismes publics.
Optimex Data vous propose de faire connaissance avec le règlement Européen via une FAQ RGPD visant à répondre aux questions les plus fréquemment posées.
Pourquoi une nouvelle législation sur la protection des données ?
Pour faciliter les échanges de données dans l’Union européenne (grâce à une harmonisation de la législation) et pour garantir plus de transparence dans le traitement des données des citoyens (en responsabilisant davantage les entreprises).
Après tout, ce n’est que du bon sens, n’est-ce pas ?
Bien sûr, en France, nous avons la chance de bénéficier d’une législation en matière de protection de la vie privée sur Internet depuis presque 40 ans (la loi Informatique et Libertés date de 1978). Nous baignons dans une culture de protection de la vie privée et rare sont les comportements illégaux au sein des entreprises.
Je ne vends pas les données que je récolte, suis-je tout de même concerné par le Règlement ?
Oui ! Malgré votre bonne volonté et votre bonne foi vis-à-vis des données de vos clients, de vos salariés, de vos usagers, de vos partenaires, vous êtes concerné par le Règlement car le RPGD, c’est avant tout une logique de transparence et de justification.
J’ai déjà effectué des déclarations auprès de la CNIL, faut-il que j’aille plus loin ?
Comme dit ci-dessus, le RGPD vise à responsabiliser davantage les entreprises, c’est ce que le Règlement appelle « l’accountability ». Fini les déclarations à la CNIL, bonjour le registre des activités de traitement et les audits de procédure !
Pourquoi devrais-je désigner un délégué à la protection des données ?
Le délégué à la protection des données (Data Protection Officer ou DPO en anglais) est un acteur clé de la mise en conformité. C’est lui qui va vous conseiller pour chacune des obligations imposées par le RGPD. Il vous aidera à tenir un registre des traitements, à auditer vos traitements, à gérer les demandes relatives au droit des personnes, à effectuer une analyse d’impact sur la protection des données, à garantir votre conformité au RGPD !
Le droit des personnes, qu’est-ce que c’est ?
Accéder à ses données, pouvoir les rectifier, les effacer, les télécharger pour les transporter ou pouvoir refuser une prospection commerciale. Le RGPD est riche en droits des personnes et les entreprises doivent garantir chacun d’eux.
Si je ne suis pas en conformité au 25 mai 2018, que va-t-il se passer ?
Rien ! Le 25 mai 2018 n’est pas une date butoir. Toutefois, si la CNIL est amenée à contrôler votre organisme (à la suite d’une faille technique entrainant une fuite de donnée ou à la suite d’une plainte en ligne d’un de vos salariés ou clients) et que vous n’avez pas entamé une démarche de conformité, vous serez sanctionné à hauteur de votre investissement envers la protection des données.
Quels types de sanctions peut prononcer la CNIL ?
La formation restreinte de la CNIL peut prononcer des sanctions pouvant aller de l’avertissement public (dommageable pour la réputation de l’entreprise) à la sanction pécuniaire. Le RGPD prévoit à ce titre des sanctions pouvant atteindre jusqu’à 10 ou 20 millions d’euros voire 2 ou 4% du chiffre d’affaires de l’entreprise en fonction de la gravité des manquements.
La CNIL peut également vous enjoindre de cesser un traitement (ce qui peut dans certains cas coûter très cher à l’entreprise).
En espérant que notre FAQ RGPD ait répondu à vos interrogations !
