- Pour rappel, le Règlement Général sur la Protection des Données (RGPD) entre en vigueur aujourd’hui. Ce Règlement vise à améliorer la protection de la vie privée et concerne toutes les sociétés et professionnels qui collectent des données personnelles (coordonnées, adresses IP, cookies, historiques de commande, etc.).
Le RGPD comprend plusieurs volets :
– Mieux informer les personnes dont les données sont collectées sur leurs droits en lien avec les données transmises (droit de savoir quelles données ont été collectées, droit de demander leur rectification, leur effacement ou éventuellement leur transfert (portabilité). Ce volet implique notamment d’ajouter les nouvelles mentions d’information prévues par le RGPD sur tous les formulaires de contact utilisés pour collecter des données. Dans certains cas, il implique également une modification des contrats de travail ;
– Mise en place de nouveaux instruments : les sociétés qui ont plus de 250 salariés ou qui utilisent des données personnelles de manière récurrente, ou dont le modèle économique repose sur des nouvelles technologies, ont l’obligation de tenir à jour un Registre des activités de traitement. Ce Registre vient remplacer les déclarations CNIL obligatoires dans le cadre de la loi précédente ;
Les sociétés qui collectent ou traitent des données pour le compte de leurs clients, même si elles ne répondent pas aux critères ci-dessus, ont l’obligation de tenir un registre des activités de sous-traitance. Par exemple, une société qui propose un service événementiel pour entreprises et qui collecte le nom des salariés participant à l’événement, tombe sous le régime de la sous-traitance.
Le RGPD prévoit également la nomination d’un délégué à la protection des données (DPO) pour les sociétés qui exploitent des données de manière récurrente ou en grande quantité. Le DPO joue un rôle de contrôle de conformité au sein de l’entreprise. Il peut être salarié de la société ou externalisé.
– Renforcement des obligations de sécurité. Si la sécurité des données est compromise, la société doit avertir la CNIL et les personnes dont les données ont été piratées, dans les 72 heures à compter de la découverte de la faille.
Enfin, le RGPD prévoit des sanctions très fortes en cas de non respect de la nouvelle réglementation, puisque des amendes pouvant aller jusqu’à 4% du chiffre d’affaires pourront être prononcées.
Si vous n’êtes pas encore en conformité, il est donc utile d’engager le processus de mise en conformité dans un délai raisonnable.