La date de mise en application du RGPD approche à grands pas. En effet à partir du 25 mai 2018, le RGPD sera pleinement applicable. Il devient donc plus pressant pour les entreprises de se mettre en conformité. Voici en résumé, les 5 points clés pour une mise en conformité réussie.
La tenue d’un registre de traitement
La tenue d’un registre de traitement constitue l’une des obligations majeures imposées par le RGPD aux responsables de traitement. Et plusieurs informations doivent être contenues dans ce registre : le nom des personnes concernées, les finalités des traitements de données, les coordonnées des responsables du traitement et des sous-traitants, les coordonnées du DPO, les catégories des traitements, les mesures de protection en cas de transferts de données en dehors de l’UE, la description des mesures techniques et organisationnelles mise en place au sein de l’entreprise en matière de protection des données.
Les nouvelles obligations qui incombent au responsable de traitement
Avec le RGPD, le responsable de traitement doit remplir de nouvelles obligations. Il doit notamment garantir le respect des nouveaux droits des personnes concernées (droit à l’oubli, droit à la limitation des traitements, droit à la portabilité…). Et en cas de violation des données, il doit en informer la CNIL et la personne concernée dans les 72 après la découverte de l’anomalie. Dans de nombreux cas (traitements de données particulières ou sensibles, utilisation de nouvelles technologies…) le responsable de traitement devra réaliser une étude d’impact sur la vie privée. Enfin, il faudra prendre en compte des principes comme le privacy by design ou encore privacy by default avant de lancer un nouveau produit ou un nouveau service.
Respecter le principe d’accountability
Le RGPD met fin à la logique déclarative et se tourne plutôt vers une approche plus pragmatique en responsabilisant les entreprises (principe d’accountability). Fini donc l’ère du « pas vu/pas pris ». Il appartiendra dorénavant à l’entreprise de prouver sa conformité avec le RGPD 2018 en mettant à jour diverses documentations : registre des traitements, documentation sur la preuve du consentement, charte de confidentialité…
Un petit rappel des sanctions
Des sanctions financières assez sévères
Le caractère non dissuasif des sanctions financières des anciennes lois portant sur la protection des données était l’une des raisons qui expliquaient leur inefficacité. Ce problème est résolu avec le RGPD et ses sanctions financières assez sévères. Ainsi pour les manquements aux obligations liées à la protection des données (analyse d’impact, information des personnes, sécurité des données…), l’entreprise contrevenante risque une sanction de 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial de l’exercice précédent. Pour les violations graves (licéité d’un traitement, traitements des données sensibles, non-respect des droits des personnes…), l’entreprise contrevenante risque une sanction de 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent.
La perte de confiance et les impacts sur la compétitivité
Outre les sanctions financières, les entreprises non conformes au RGPD risquent d’être moins compétitives. En effet, sous peu, le fait d’être en conformité avec le RGPD deviendra un critère de qualité et de confiance. Les clients se tourneront forcément vers des entreprises qui mettent tout en œuvre pour protéger leurs droits.
