L’entrée en vigueur du Règlement général sur la protection des données (RGPD), le 25 mai 2018, impose des mesures pour protéger les données de tous les citoyens européens. Pour être en conformité, les entreprises qui traitent des données, doivent modifier certaines pratiques de leur fonctionnement.
Le règlement européen s’adresse aux entreprises, qui détiennent des données personnelles sur des citoyens européens, sans considération de taille ou de secteur d’activité. Les entreprises qui possèdent un site Internet, sont systématiquement concernées, puisqu’elles collectent inévitablement des données. Les entreprises qui conservent les informations de leurs clients, et celles qui gèrent des fichiers contenant les données des salariés, sont concernées de la même manière, par les dispositions de ce règlement. Autant dire que toutes les entreprises sont impliquées par l’application du RGPD.
Pour être en conformité avec le RGPD, il faut suivre un certain nombre de formalités. En interne, il s’agit de tenir des registres précis, informer les salariés, mettre en place des procédures, etc. Et en externe, il s’agit d’informer les tiers (charte de vie privée, consentement, etc.). Le RGPD impose, sous certaines conditions (taille ou sensibilité des données), la nomination d’un Data Protection Officer (DPO), qui se charge de la tenue du dossier contenant les fichiers de données personnelles. Le dossier en question, doit être mis à jour régulièrement, afin de rester conforme à la réglementation. Même si le DPO est obligatoire uniquement dans certains cas de figure, il reste fortement recommandé.
Le rôle de la CNIL, qui se chargeait de récolter les déclarations liées au traitement de données personnelles par les entreprises, a évolué. Désormais, la CNIL est en charge du respect des dispositions du RGPD. Pour ce faire, elle peut effectuer des contrôles à tout moment, et appliquer des sanctions en cas de manquement (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires de l’entreprise).
Dans les faits, beaucoup d’entreprises n’ont pas pris les mesures appropriées pour se mettre en conformité avec les nouvelles obligations du RGPD. Le champ d’application du RGPD est, en effet, large. Il recouvre les données des salariés (RH), des clients et des prospects (service marketing), des tiers (données informatiques). Cela peut paraître déroutant. Aussi, si vous ne savez pas exactement comment vous y prendre pour être en conformité avec la loi, n’hésitez pas à faire appel à nos experts juridiques. Ils sont là pour vous accompagner dans la mise en conformité :
