Qu'est ce que le RGPD (règlement européen général sur la protection des données) ?

Le cadre du RGPD

Le règlement européen général sur la protection des données à caractère personnel (RGPD) entrera en vigueur le 25 mai 2018, et à cette date, toutes les entreprises devront avoir mis leurs traitements de données personnelles en conformité. Zoom sur le cadre d’application d’un règlement qui promet une véritable révolution dans les pratiques des entreprises.

Les changements par rapport à la loi Informatique et Libertés

Depuis 1978, c’était la loi Informatique et Libertés qui régissait le traitement des données personnelles en entreprise. Le système précédemment appliqué imposait à toutes les sociétés des demandes d’autorisation pour utiliser les informations contenues dans des fichiers à caractère personnel, ainsi que des obligations de déclaration quant à leur mode de recueil. Désormais, ces obligations sont supprimées, mais en revanche, l’entreprise doit utiliser de manière responsables les données à caractère personnelle et en assurer la sécurité. La Commission nationale de l’informatique et des libertés (Cnil) peut en effet lui demander à tout moment de démontrer l’exemplarité de ses pratiques et la sécurisation de ses fichiers de données à caractère personnel. Sous peine d’amende, les sociétés doivent être en mesure de prouver qu’elles ont bien obtenu le consentement des personnes intéressées. Cette révolution dans la manière d’administrer les données personnelles impose aux entreprises de changer radicalement leur manière de procéder.

Quelles sont les entreprises concernées par le RGPD ?

La réponse est claire, toutes. En effet, même si les entreprises visées sont celles qui proposent des services ou des produits ou celles qui étudient le comportement des Européens, toutes celles qui disposent de fichiers à caractère personnel entrent dans le champ d’application du règlement, même si elles n’ont aucune activité sur Internet. Par exemple, est considéré comme un fichier de données personnelles le document listant tous les salariés d’une entreprise ! Quels sont les sanctions encourues par les entreprises en cas de non-respect du RGPD ? Après la date butoir du 25 mai, toutes les infractions au RGPD constatées pourront déboucher sur une amende sévère d’un maximum de 20 millions d’euros ou de 4% du chiffre d’affaires.

Comment se préparer à l’entrée en vigueur du RGPD ?

Il vous faut suivre trois étapes pour préparer votre entreprise à l’entrée en vigueur du RGPD.

1- Nommer un délégué à la protection des données personnelles

Ce dispositif n’est normalement obligatoire que pour les grandes entreprises qui officient dans le domaine de la technologie et les organismes publics, mais il est néanmoins fortement recommandé pour les autres, selon la CNIL. Le but de la mission de ce délégué est d’informer, de conseiller et de contrôler les pratiques de l’entreprise pour laquelle il travaille, et de jouer le rôle de lien entre celle-ci et la CNIL.

2- Réaliser une étude d’impact

Toutes les entreprises devront établir un registre dans lequel seront intégrés les fichiers à caractère personnel, et elles devront également veiller à ce que le consentement des personnes concernées ait bien été obtenu en conformité avec le RGPD.

3- Organiser votre procédure interne

À la suite de la mise en conformité avec le RGPD, puis au cours de la vie de votre structure, vous aurez à faire face à un grand nombre de demandes relatives aux fichiers à caractère personnel (droit à l’oubli, litige, etc). Vous avez donc tout intérêt à prévoir immédiatement la procédure qui vous permettra de les traiter dans les meilleurs délais.