Tous les articles
RGPD : Les obligations des entreprises

RGPD : Les obligations des entreprises

14 novembre 2022 - Le blog CO-PILOTES

Le RGPD, c’est quoi ?

Le Règlement européen sur la Protection des Données Personnelles, entré en vigueur le 25 mai 2018, pose des obligations pour les entreprises qui réalisent des traitements de données à caractère personnel.

Comment identifier des données à caractère personnel ?

Une donnée personnelle est une information qui permet d’identifier clairement une personne physique de manière directe ou non. Voici quelques exemples :

  • Nom, prénom
  • Adresse électronique
  • NIR (Numéro de sécurité sociale)
  • Coordonnées bancaires
  • Adresse IP
  • Numéro de téléphone
  • Etc…

N.B. Certaines données sont dites « sensibles » : condamnations pénales, difficultés sociales…etc. ; voire « interdites » : appartenance politique, syndicale, orientation sexuelle, données de santé, origine ethnique…etc. Il faut donc veiller à être vigilant lors de leur traitement.

Attention, cela concerne uniquement les personnes physiques. Les données relatives aux personnes morales (SIREN, adresse du siège social, CA…) ne sont pas soumises au RGPD.

Qu’est-ce qu’un traitement de données ?

  • Recueillir un consentement

Dès la collecte de données à caractère personnel, l’entreprise doit impérativement recueillir une preuve du consentement de la personne concernée. Le consentement doit être libre, spécifique, éclairé et univoque. Par ailleurs, la personne concernée doit pouvoir retirer son consentement à tout moment.

  • Garantir le droit des personnes

Le droit d’information est le plus important. En effet, l’entreprise doit communiquer clairement sur l’identité du responsable du fichier, la finalité de traitement des données ainsi que la durée de conservation de ces dernières, entre autres.

  • Droit d’information*
  • Droits de propriété intellectuelle
  • Droit d’accès aux données
  • Droit de rectification
  • Droit d’opposition
  • Droit à la portabilité
  • Droit à l’oubli
  • Droit à la limitation

N.B. Une personne peut demander l’application de ses droits par tous moyens. Une réponse doit lui être apportée dans un délai de 30 jours.

  • Protéger les données

Les données personnelles doivent faire l’objet de mesures de sécurité telles que des analyses d’impact (analyse visant à cartographier les risques pour les personnes concernées) ou une anonymisation. Cette dernière est définie par la CNIL comme un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible.

L’entreprise doit rendre les données confidentielles, intègres et disponibles.

  • Tenir un registre des traitements

Le registre est un document qui doit être régulièrement mis à jour.

Il s’agit de consigner tous les types de traitement de données non ponctuels qui sont effectués par l’entreprise. Pour simplifier cela, vous pouvez retrouver des modèles de registres sur le site de la CNIL (www.cnil.fr).

Attention, pour les entreprises de plus de 250 salariés, les traitements ponctuels doivent aussi apparaître dans le registre.

Traitement des données doit être mis à jour régulièrement Source : www.cnil.fr

  • Nommer un Délégué à la Protection des données

Il est conseillé de désigner une personne en charge de la mise en application du RGPD, qu’on appelle DPO. Cette personne n’a pas d’obligation de dénonciation, elle doit simplement être référente en matière de protection des données.

La désignation d’un DPO n’est obligatoire que dans les cas suivants :

  • Organismes publics
  • Entreprise exigeant un suivi régulier à grande échelle (ex : banques)
  • Entreprises collectant des données sensibles à grande échelle (ex : hôpitaux)

Le RGPD et la sous-traitance

La sous-traitance est une notion à ne pas négliger dans le cadre du RGPD. En effet, une entreprise peut régulièrement faire appel à un prestataire à qui elle confiera certaines données personnelles.

Dans ce cadre, le sous-traitant est soumis aux mêmes obligations que le responsable de traitement de l’entreprise. Il doit garantir la protection des données et les droits des personnes concernées.

Attention, ce type de relation implique la rédaction d’un contrat dans lequel devront figurer un certain nombre d’éléments importants ainsi qu’une mention concernant la fin du contrat. Le sous-traitant a l’obligation, au terme du contrat, de restituer ou de détruire les données qui lui auront été confiées.

La CNIL

La Commission Nationale Informatique et Libertés est une autorité de contrôle en matière de RGPD. Il en existe une pour chaque état membre de l’UE.

Cette instance a pour but d’informer le public, de conseiller les entreprises et les pouvoirs publics et de contrôler l’application des mesures de protection des données.

La CNIL dispose d’un droit de sanction. En effet, lors d’un manquement au RGPD, la commission peut prononcer différentes mesures allant du rappel à l’ordre jusqu’à l’amende administrative. Pour information, cette amende peut aller jusqu’à 20 millions d’euros ou 4% du chiffres d’affaires annuel mondial de l’exercice passé.

Pour toute information complémentaire, n’hésitez pas à consulter le site de la CNIL qui répertorie les obligations des entreprises, les actualités ainsi que des outils pour vous aider à être en conformité avec le RGPD.

 

 

 

 

 

 

Ordre des experts-comptables
Ordre des Experts-comptables
Label Co-Pilotes
Le Label Co-Pilotes
CCI Normandie
CCI Normandie
Chambre des métiers et de l’artisanat
Chambre des Métiers et de l'Artisanat de la Manche
CRCC
CRCC Caen - Compagnie Régionale des Commissaires aux Comptes
Initiative Pays de la Baie
Initiative Pays de la Baie
Initiative Granville
Initiative Granville Terre & Mer
BNI Manche
BNI France - Business Network International
Club MES
Club MES - Manche Services Entreprises
Apéros
Apéros Entrepreneurs de Granville
Être rappelé