Compte tenu de sa complexité, il y a de quoi être un peu perdu !
Comme vous le savez, le Règlement Général sur la Protection des Données s’applique depuis le 25/05/2018.
Je vais vous en faire un petit résumé afin de vous faire prendre conscience de son importance, et du fait qu’il ne faut surtout pas le négliger.
Ou en êtes-vous dans la mise en œuvre de celle-ci ?
- Pour mémoire, ce règlement s’applique à tous quelque soit l’importance de l’entreprise.
Qui concerne-t-elle ?
Toutes les entreprises qui traitent ou font sous-traiter des données personnelles telles que les salaires ou des fichiers clients sont concernées y compris s’il s’agit de fichiers papiers…
Pourquoi ?
L’objet de ce règlement est de protéger les données personnelles des individus à savoir « toute donnée personnelle c’est-à-dire toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); qui est réputée être une «personne physique identifiable»
Quand ?
Dès lors qu’un traitement des données est mis en place, le responsable des traitements doit s’assurer du contenu minimum suivant :
- La finalité du traitement
- La catégorie des personnes concernées
- La catégorie des destinataires
- S’assurer du lieu de stockage des données
- Le temps de conservation des données.
- Un descriptif des mesures de sécurité.
Même si le registre des traitements n’est obligatoire qu’à partir de 250 salariés, il est cependant conseillé de le mettre en place dès qu’un traitement est effectué, et cela quelque soit la taille de l’entreprise. Des applications d’exemples peuvent être téléchargées sur le site de la CNIL.
Dès lors que les traitements des données est régulier, tel que la gestion des salaires, des prospects ou des fournisseurs, il est nécessaire de mettre en place un registre des traitements.
Le traitement doit avoir un objectif et une finalité, déterminée au préalable
Analyse d’impact
Dès lors qu’un traitement est susceptible d’engendrer un risque élevé pour les personnes, une analyse d’impact doit être effectuée afin de déterminer les mesures à prendre afin de préserver les droits intérêts légitimes des personnes concernées. Le délégué à la protection et des données, s’il a été nommé peut donner des conseils au responsable du traitement.
Sous-traitants
Le fait d’avoir des sous-traitants ne vous dispense pas de vos responsabilités. Il y a lieu de vérifier avec lui la sécurité de vos données.
Délais de déclaration à la CNIL en cas de violation ou d’altération des données.
Selon l’article 33 du règlement, toute violation de données à caractère personnel doit être notifié à la
CNIL (pour la France) dans les 72 heures au plus tard après en avoir pris connaissance, tout retard devant être justifié.
Il faut alors décrire la nature de la violation et les conséquences probables de cette violation, ainsi que les mesures prises pour y remédier.
Si les informations sont susceptibles d’entrainer des conséquences pour les personnes concernées, il faut alors avertir de manière détaillée les personnes concernées sans délai.
Sanctions
Sanctions administratives.
Suivant l’article 83 du règlement RGPD, les violations de celui-ci peuvent faire l’objet d’amendes administratives pouvant s’élever jusqu’à 10 000 000 €, ou 2% du CA annuel mondial de l’entreprise de l’exercice précédent, le montant le plus élevé étant retenu.
Toutefois, certaines violations, considérées comme plus graves, peuvent entrainer des sanctions encore plus importantes soient 4% du CA annuel mondial de l’entreprise de l’exercice précédent, ou jusqu’à 20 000 000 € d’amende, le montant le plus élevé étant retenu.
Sanctions pénales.
Si des poursuites pénales sont engagées vis-à-vis du responsable du traitement, la peine encourue est de 5 ans d’emprisonnement et 300 000 € d’amende. (voir : https://www.cnil.fr/fr/les-sanctions-penales )
Alors que faire ?
Il est clair que la RGPD est compliquée à gérer et qu’il s’agit pour beaucoup de tâches supplémentaires à gérer en sus.
Une solution est de recruter un délégué à la protection des données afin d’éviter des erreurs importantes.
Il peut être choisi en interne, ou bien en tant que prestataire extérieur.
Il pourra conseiller l’organisation et s’assurer que les règles légales sont appliquées correctement.
La solution assurantielle est aussi très importante, car elle interviendra tant pour la reconstitution des données, que pour l’avertissement aux personnes en cas de violation de leurs données personnelles, ou encore pour les pertes d’exploitations consécutives.
Les amendes civiles pourront dans certains cas être prises en charge.
Quelques précautions à prendre
- Contrôler l’accès aux données personnelles de l’entreprise pour que l’on ne puisse pas accéder à ces informations sans y être dument autorisé.
- Si une analyse est lancée, veiller à avoir obtenu le consentement éclairé des personnes concernées.
- Penser aussi aux droits des personnes fichées tels que, l’information, l’accès, la portabilité, la rectification, le droit d’opposition de même que le droit à l’oubli
- Attention, la surveillance vidéo entre aussi dans le champ de la RGPD, donc pas de surveillance disproportionnée !
Il faut donc surtout ne pas oublier que le RGPD est désormais une obligation importante dans votre activité et qu’il ne faut pas le déconsidérer.
Pensez aussi à la partie assurantielle telle que
- l’indemnisation permettant la reconstitution perte des données
- la prise en charge des frais d’avertissements des personnes concernées en cas de perte ou vol de données
- Une garantie PERTES D’EXPLOITATION en cas d’arrêt ou de grosses perturbation de l’activité.
- Garantie de responsabilité pour les dommages occasionnés à des tiers.
N’hésitez pas à nous contacter pour toute information à ce sujet par mail ou par téléphone au 02 41 09 77 32 ou par notre formulaire de contact.