La RGPD ou en Anglais le GDPR
Règlement Général sur la Protection des Données
Cette loi applicable depuis le 25 Mai 2018 a pour but de renforcer la protection des données autour du "citoyen"
Les objectifs est d'assurer la traçabilité, la sécurité de ce que font les entreprises avec nos propres données.
Cela touche tous les secteurs : le marketing qui se sert des données clientes pour optimiser leurs stratégies de vente
les experts comptables qui stockent et manipulent des données clientes, les milieux médicaux qui conservent nos dossiers...
Votre part de responsabilité peut être mise en cause dans les cas suivants:
- Vous n'appliquez pas le réglement RGPD
- D'exploitation des données clientes sans consentement
- De pertes de données
- De mesures de sécurité inadaptées.
Le stockage papier est au fur et à mesure remplacé par des solutions electronique avec l'utilisation du cloud et d'outils de stockage à des prix extrêment bas vient à nous mener la réflexion sur la sécurité
La RGDP clarifie cela par des régles adaptées qu'il faut prendre en compte et en mesure de fournir en cas de contrôle:
->La traçabilité : Registre des données à mettre en place pour l'identification de tous les flux , qui , quoi comment sont traitées les données
->Définition de la nature des données : sensible, critique..
->Obligation d'informer les personnes sur ceux que vous faites des données.
->Permettre aux personnes d'exercer leurs droits de suppression ou modification de leurs données personnelles
->Sécurisez vos données : êtes vous capable de dire quelles sont les moyens mis en oeuvre en cas de pertes ou altération de vos données?
->Signaler au CNIL toutes violations ou pertes de données.
Ceci n'est qu'un résumé des principales mesures qu'il faut prendre en compte, vous avez besoin d'être accompagné pour sécuriser vos systémes
Les amendes lié au non respect de la RGPD qui sont tombés depuis que la rgpd est mise en place
en France :
250.000 euros à Bouygues Telecom
400.000 euros à Uber
50.000 euros à Dailymotion
250.000 euros à Optical Center
Pour rappel la RGPD oblige :
Garantir la sécurité maximale des données personnelles
Demander en aval le consentement des personnes concernées
Etre transparente dans le traitement des données – c.à.d. une obligation d’information et de conseil des personnes concernées
Respecter les droits de la personne concernée lors du traitement des données
Tenir un registre des traitements de données – ce registre est obligatoire quand le volume d’une entreprise dépasse les 250 personnes
Nommer un délégué à la protection des données (DPO)
Effectuer des Analyses d’impact préalable aux traitements des données personnelles permettant de gérer au préalable les risques éventuels lors du traitement (une fuite des données par exemple)
2 sortes de sanctions en cas ou le réglement européeen général sur la protection des données RGPD n'est pas appliqué:
Les sanctions seront sous l'autorité de controle de la CNIL :
Les infractions sont donc sanctionnées graduellement et en fonction de leur gravité :
Etape 1 : Avertissement ou une mise en demeure de l’entreprise fautive avec rappel du devoir de mise en conformité des traitements de données sensibles au RGPD
Etape 2 : Injonction de cesser la violation des régles décrites par la RGPD
Etape 3 (dans certains cas) : Limitation ou suspension temporaire des traitements de données
Etape 4 : Sanctions administratives en cas de non-respect aux règles du RGPD après injonction vaine de l’autorité de contrôle
Les amendes administrative :
article 83 du RGPD : liste les conditions permettant à une autorité de contrôle (la CNIL en France) d’imposer une sanction administrative à un organisme ayant violer une des règlementations du RGPD
une amende d’un montant de 2% du chiffre d’affaires mondial pour les entreprises ou 10 millions d’euros d’amende peut être appliqué :
les obligations RGPD incombant au responsable du traitement et au sous-traitant
les obligations RGPD incombant à l’organisme de certification
les obligations RGPD incombant à l’organisme chargé du suivi des codes de conduite.
Les TPE-PME sont elles concernées?
oui, toutes les entreprises sont concernées par le Règlement européen sur la protection des données (RGPD).
Si elles collectent, stockent, utilisent des données à caractère personnel. Dans ce cas, les entreprises sont "responsables de traitements".
Si elles traitent des données à caractère personnel pour le compte d'autres entreprises. Dans ce cas, les entreprises sont "sous-traitantes".
consulter le guide : https://www.cnil.fr/fr/la-cnil-et-bpifrance-sassocient-pour-accompagner-les-tpe-et-pme-dans-leur-appropriation-du-reglement