Suis-je concerné(e) par la protection des données personnelles ?

Depuis peu, un nouveau texte de loi est paru : le RGPD
A quoi correspond ce texte de loi ? Que mettre en place au sein de mon entreprise ? Quels sont les risques ?
Bonne lecture de ce résumé !

Le Règlement Général pour la Protection des Données est une nouvelle réglementation européenne qui vise à renforcer la protection des données personnelles d’après le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
Ainsi, comment se mettre en conformité avant le 25 Mai 2018 ?


1- Je nomme un délégué à la protection des données (DPO)

L’attribution d’un délégué est obligatoire si l’une de ces deux conditions est respectée :
- Si vous êtes un organisme public
- Si vous êtes une entreprise dont l’activité vous conduit à recevoir ou envoyer des données  « sensibles », des condamnations pénales ou des infractions sur une vaste échelle.


Les principales missions de ce délégué sont :
- Accompagner continuellement la conformité
- Notifier en interne la nature des nouvelles obligations
- Attirer l’intention des décideurs sur l’effet de ces nouvelles règles
- Encourager et concevoir des actions de sensibilisation
- Effectuer le catalogue des traitements de données de votre organisation

 


2- J’effectue une analyse préliminaire des risques

- Je trie par objectif la liste de mes traitements de données et les types de données traitées
- Je recense la liste des sous-traitants intervenant sur chaque traitement pour déterminer combien de temps et où sont stockées mes données
- Je me renseigne sur la transmission des données (à qui, où…)

 

3- Je dirige les risques

Vous devez disputer une étude d’impact sur la protection des données si des traitements de données effectués sont susceptibles de faire peser un risque pour les droits et libertés des personnes.


4- Mes actions de conformité doivent être ma priorité

Il s’agit d’établir en priorité mes actions de traitements de données sur les libertés et droits de personnes qui encourent un risque :
- Renseigner clairement les personnes concernées (combien de temps leurs données seront utilisées, en quoi…)
- Contrôler que les sous-traitants (si vous avez recours) remplissent leurs règles concernant le RGPD
- Réunir et traiter que les données nécessaires à la poursuite de vos objectifs
- Examiner et potentiellement accroître les mesures de protection de vos données contre le piratage
- Ajuster vos mentions d’informations pour qu’elles soient conformes aux obligations du RGPD

 

5- J’averti mes collaborateurs sur les changements de protection de données

Il s’agit ici de former vos collaborateurs sur la protection des données de votre entité en recueillant seulement les données en rapport avec la finalité du traitement et en évoquant certains points clés :
- Confidentialité et sécurité des données interne
- Durée de conservation des données
- Géré les cookies (13 mois maximum)
- Supprimer les données personnelles de la base de données des contacts inactifs depuis 3 ans

Il est également nécessaire de définir des modalités d’action pour agir sur chaque réclamation de vos contacts (droit d’accès, rectification, retrait de leur consentement…)


6- Les sanction en cas de défaut d’application

En cas de violation ou de non-respect d’une ou plusieurs de ces obligations, à partir du 25 mai 2018, la CNIL sera susceptible d’intervenir pour alerter les intéressés des irrégularités constatées, et les obliger à rapidement se mettre en conformité.

Sanctions sévères, mais graduelles :
- Premier avertissement ou mise en demeure pour contraindre le contrevenant à finaliser sa mise en conformité
- Traitement des données pourront être limités temporairement
-  La CNIL pourra infliger de lourdes amendes administratives à ceux qui ne respectent pas les règles du RGPD :

  • 2% du CA mondial d’une entreprise ou 10 millions d’euros d’amende pour défaut de tenue d’un registre des traitements, d’étude d’impact sur la vie privée en cas de données sensibles, défaut d’annonce suite à une faille décelée et problèmes de sécurité.
  • 4% du CA mondial d’une entreprise ou 20 millions d’euros d’amende pour défaut de consentement, traitements de données illégaux, non-respect des droits des personnes, refus d’obtempérer face aux injonctions de la CNIL.

Vous souhaitez en savoir plus, n'hésitez pas à nous contacter !

 

www.innovatis-conseil.fr

www.aditisaudit-cac.fr

www.aditisaudit-evaluation.fr

Publié le: 27/02/2018

Contactez-nous

GUILLOU Marion
Chargée de mission Conseils
m.guillou@aditisaudit.fr
02 99 32 12 12
‹ Article précédent
Retour aux articles
Article suivant ›
Actus