RGPD, concrètement, que doit-on faire? Obligations

RGPD, concrètement, que doit-on faire? Obligations

Comment se mettre en conformité avec le RGPD?

Le RGPD est le règlement général pour la protection des données. On parle de GDPR dans les pays anglo-saxons. Mais concrètement qu’est-ce que c’est ? Qui est concerné et que doivent faire les entreprises pour être certaines de respecter la loi ? L’agence IBFY fait le point sur la législation RGPD et son impact pour les entreprises. Depuis le 25 mai 2018, c’est la CNIL (commission nationale de l’informatique et de la liberté) qui veille au respect de cette réglementation en France. C’est à elle que vous pourrez-vous adresser si vous avez des doutes par rapport à votre cas particulier.

À quoi sert le RGDP ?

Le RGPD a pour objectif d’optimiser la protection des données personnelles des européens sur Internet. C’est à dire les informations qui permettent directement ou indirectement d’identifier une personne. Une base de données pourra être concernée même si elle n’est pas nominative. Il permet aux entreprises de disposer d’un cadre légal uniforme dans toute l’Europe.

Qui est concerné par le RGPD ?

Étant donné le large périmètre couvert par la collecte de données personnelles, toutes les entreprises européennes ou collectant des informations sur des résidents européens sont concernées. Dès lors qu’elles disposent d’un fichier qui comporte des informations sur des personnes physiques, elles doivent se mettre en conformité. Il ne s’agit pas spécifiquement de données informatiques, cela concerne également les sociétés qui possèdent des fichiers au format papier.

Vous cherchez un prestataire de confiance pour votre stratégie digitale? Prenons rendez-vous pour en parler!

Qu’est-ce qui est obligatoire pour le RGPD ?

 

1. Nommer un DPO (Délégué à la protection des données).

  • Si vous effectuez un suivi régulier et systématique à grande échelle des données collectées ou si vous collectez des informations sensibles, il est indispensable.
  • Vous devrez alors effectuer sa déclaration via le site de la CNIL. Sa certification n’est pas obligatoire.

2. Tenir à jour le registre des données collectées.

  • La liste et la fonction des personnes ayant accès aux données
  • le type de données
  • l’objectif de la collecte, établir la nécessité du stockage des données
  • l’endroit où elles sont conservées
  • les mesures de sécurité adoptées.

3. Etablir la base juridique de la collecte

  • en formalisant la manière dont est obtenu le consentement de la personne et la procédure mise en oeuvre pour qu’elle puisse exercer ses droits. Sur votre site Internet vous devrez avoir des mentions légales à jour et installer une bannière de consentement pour vos cookies.
  • en démontrant l’intérêt légitime,
  • en établissant des contrats avec les sous-traitants qui accèderont à ses données,
  • en prouvant l’obligation légale si elle est avérée.

4. Réaliser une AIDP : analyse d’impact relative à la protection des données.

  • Dans le cas où vous collectez des données sensibles, vous devez être capable de mesurer le risque encouru pour les personnes concernées.

5. Déterminer une marche à suivre détaillée en cas de problème

  • Le règlement impose de lister sous forme de procédure interne les actions à mener dans le cadre d’une faille de sécurité. Les responsables et personnes chargées de mettre en oeuvre ces actions devront aussi être mentionnées.

Que risque-t’on si on n’est pas en conformité avec le RGPD ?

Si il s’avère que vous n’êtes pas en règles, vous serez dans un premier temps avertis et mis en demeure de corriger vos manquements. Dans les cas les plus graves les sanctions pourront aller jusqu’à des amendes égales à 4% du chiffre d’affaire et 20 millions d’euros d’amendes.

Écrire un commentaire