RGPD : respecter la nouvelle réglementation
- François-Pierre Lani, avocat membre du cabinet Derriennic
Nommer un DPD ou DPO
Le RGPD est très clair : il impose la nomination d’un délégué à la protection des données, un DPD. Le DPD est nommé uniquement pour les entreprises dont le cœur d’activité est de traiter à grande échelle des données sensibles, ou celles dont les opérations de traitement exigent un suivi régulier et systématique à grande échelle des personnes. Les missions du DPD sont toutes celles en relation avec les données personnelles.
Le DPD peut être mutualisé dans un groupe d’entreprises, dès lors qu’il est joignable facilement. Il peut soit faire partie du personnel de votre entreprise, soit exercer sa mission sur la base d’un contrat de service. Un avocat peut d’ailleurs tout à fait remplir les missions de DPD !
Réaliser une étude d’impact
Il faut réaliser une analyse d’impact sur les traitements de données présentant un risque élevé pour les droits et libertés des individus dont les données sont traitées.Selon la CNIL, ce risque élevé existe quand :
- le traitement effectue une évaluation ou un scoring,
- lorsqu’il permet une prise de décision automatique avec effet légal ou similaire,
- le traitement est lié à une surveillance systématique,
- le traitement consiste en une collecte de données personnelles à large échelle,
- des données croisées,
- le traitement des données des personnes vulnérables, comme des patients, des personnes âgées ou encore des enfants.
Vous devez impérativement nommer un DPD dès qu’une entreprise traite des données personnelles. Votre entreprise doit seulement traiter les données personnelles a minima, c’est-à-dire seulement celles nécessaires au traitement. Mettez en place une politique de gestion du consentement et des droits de l’individu. Vous devez également maintenir un registre complet des traitements mis à jour. Sensibilisez tous les salariés à des périodes régulières sur les questions de protection des données personnelles. Enfin, dans chaque projet de création, de commercialisation, d’innovation ou encore de gestion, la problématique de la protection des données doit être gérée en amont.
Ne pas être en conformité le 25 mai 2018, date d’entrée en vigueur du texte
Si vous n’êtes pas en conformité avec le RGPD avant le 25 mai 2018, vous risquez des sanctions très lourdes allant jusqu’à 4% du chiffre d’affaire. D’où l’importance de s’y conformer. Ne pas être capable de prouver sa conformité. Le RGPD impose également que vous soyez en mesure de démontrer cette conformité à tout moment.Idéalement, il faudra utiliser les outils mis à disposition par le RGPD (le registre des traitements, les codes de conduites et l’analyse d’impact) pour pouvoir démontrer à tout moment votre conformité auprès de la CNIL. L’entreprise en conformité, c’est aussi celle qui a été à même de créer des processus internes pour gérer les failles, notamment par la mise en place d’outils informatique, qui assurent précisément la protection des données. Pour pérenniser la conformité et donc la prouver à tout moment, la formation et la sensibilisation de l’ensemble du personnel est essentielle. Vous pouvez mettre en place des fiches pratiques à destination de chaque service de l’entreprise. Enfin, n’hésitez pas à vous entourer de professionnels afin de garantir votre conformité durant toute la vie de votre entreprise.
Vous avez une question ? ⬅️
Vous souhaitez contacter un expert ? ⬅️