RGPD

 

Depuis le 25 mai 2018, date d’entrée en vigueur du Règlement Général pour la Protection des Données, la CNIL est le régulateur en France pour veiller au respect du Règlement.

Le RGPD c’est comme le Code la Route : en cas de non-respect des articles du Règlement, la CNIL sanctionne ces infractions.

Comme en voiture, vous devez montrer que vous êtes aussi en règle lors d’un contrôle, pour le RGPD c’est pareil : l’entreprise doit prouver sa mise en conformité. Elle doit veiller à formaliser que, par exemple, un article ne s’applique pas à son entité et qu’elle est ainsi exonéré de mettre en place en procédure spécifique : c’est le principe d’accountability. En cas de traitement de données personnelle vous devez aussi prouver la licéité du traitement.

On peut retenir les sanctions suivantes, qui recoupent toutes les tailles d’entreprise, tout secteur, et surtout concerne chaque étape du RGPD : les entreprises sont condamnées pour le non-respect de différents article et principe du RGPD.

  • Société majeure de la distribution : manquement à l’information délivrée aux personnes et au respect de leur droit (accès, portabilité …) => amende de 3 millions d’euros
  • Grande société du web, sanctionnée en janvier dernier 50 millions d’euros, pour manquement aux obligations de transparence à l’égard des personnes concernées, est la preuve d’une exigence demandée par la CNIL, après avoir évité une deuxième amende de 40 millions.

Mais toutes les tailles d’entreprises sont concernées :

  • 2 médecins condamnés pour manquement au cryptage des données sensibles, mauvaise configuration de leur box internet, mauvais paramétrage du logiciel d’imagerie
    • Amendes de 3 000 euros et 6 000 euros.
  • Société commerciale : envoie de courriels de prospection commerciale sans preuve du consentement préalable des personnes
    • Amende de 7 000€.

En général il s’agit d’un défaut d’information des personnes concernées sur la collecte de leurs données et l’exercice de leur droit (manquant, incomplet ou inexistant).

Facteur déclenchant des contrôles : souvent à la suite d’une plainte.

Secteurs concernés :

Il est évident que certains secteurs traitant au quotidien des données personnelles sensibles pour les besoins du métier :

  • Santé – Banque
  • Téléphonie – Assurance
  • Enseignement – Organisme public
  • Surveillance

Cependant toute société qui a des salariés, accueille du public, qui dispose d’une base de clients particuliers etc…. est concerné par le respect du RGPD.

Enjeux d’une mise en conformité

Au-delà d’un contrôle de la CNIL, s’assurer de la bonne conformité de son entreprise au RGPD devient un atout pour toutes sociétés et permet :

  • d’offrir une sécurité juridique pour les dirigeants
  • de limiter l’impact financier d’une violation
  • de sécuriser ses données, préserver sa garantie de confidentialité
  • d’établir un environnement de contrôle pour éviter les violation de données
  • de se prémunir contre les risques d’image et de réputation
  • de communiquer positivement sur la conformité RGPD

Les sanctions de la CNIL 

Bien entendu les sanctions sont proportionnées et mesurées

Sanction non financière : les sanctions sont publiques et la CNIL publie le nom des sociétés condamnées, leur secteur, les infractions.  

Intéraction entre responsable de traitement et sous-traitants :

Chaque responsable de traitement et son sous-traitant mettent en place des procédures afin de respecter le principe d’accountability :

obligation de moyens de mise en œuvre du RGPD.

En tant que responsable de traitement pour votre entité, vous devez vous assurez de la bonne conformité de votre sous-traitant en lui demander sa conformité au RGPD. Assurez-vous la présence de clauses spécifiques au RGPD dans le contrat qui vous lie au prestataire.

Qui est concerné ?

Vous l’aurez compris, quasiment toutes les sociétés sont concernées : n’attendez pas la sanction de votre entreprise, ou la survenance d’une violation de données : mettez-vous en conformité !

publié le 07 novembre 2022