Le RGPD, quelles conséquences pour l’entreprise ?

Publié le 24-01-2018 9:57

Inscrivez-vous pour une réunion d’information sur la RGPD à Nantes ou à Angers 

 

 

L’entrée en vigueur de la nouvelle réglementation européenne sur la protection des données personnelles en mai 2018 crée de nouveaux enjeux pour les entreprises :

  • Obligation de transparence renforcée
  • Constitution d’une gouvernance et d’un inventaire interne des données

 

Obligation de transparence renforcée

Ce principe exige que toutes les informations et les communications relatives aux données personnelles soient concises, facile à comprendre et à se procurer.

 

Mise en place d’une gouvernance

Les entreprises devront fournir une cartographie des données personnelles qu’elles traitent. Dans les cas suivants la désignation d’un délégué à la protection des données sera obligatoire : lorsqu’il s’agit d’un organisme public, lorsque l’activité de base exige un suivi régulier et systématique à grande échelle de données, ou un traitement à grande échelle de données sensibles (santé, religion…) ou de données relatives à des condamnations pénales et à des infractions.

 

Constitution d’un inventaire interne de données

L’inventaire interne de données devra être constitué préalablement à l’examen de conformité et répondre aux questions suivantes :

  • Quels types de données sont traités par chaque métier 
  • Pourquoi sont-elles traitées
  • De quelle source proviennent-elles
  • De quelles informations les personnes concernées disposent-elles ?
  • Par qui ces données sont-elles accessibles en interne et en externe, pourquoi, comment et pendant combien de temps

Cet inventaire doit permettre une meilleure connaissance des données traitées et mettre en lumière les actions nécessaires à une mise en conformité. La synthèse de cet inventaire doit être mise à disposition des régulateurs et de toute personne le demandant.

Par la suite, l’entreprise devra mettre en place un processus interne pour se mettre en conformité :

  • Compléter les mentions d’information des personnes
  • Prévoir des clauses types dans les contrats passés avec les prestataires pour assurer la sécurité des données
  • Se préparer à gérer les risques d’une faille de sécurité car, en cas de faille, l’entreprise disposera de trois jours non ouvrés pour en rendre compte auprès du régulateur du risque susceptibles pour les droits et libertés des personnes.

 

Quelles sanctions en cas de non-conformité à la RGPD ?

Les sanctions administratives en cas de manquement des entreprises au respect de leurs obligations se sont alourdies. Alors que la loi Informatique et Liberté de 1978 imposait une sanction maximale de 150 000€, la nouvelle réglementation prévoit des sanctions pouvant aller jusqu’à 4% du chiffre d’affaires annuel, assorties de sanctions pénales.