RGPD en entreprise : Quelles sont les obligations ?

obligations du rgpd

Le traitement et l’utilisation des données personnelles sont de plus en plus d’actualité. Ces données personnelles sont une source d’informations précieuses permettant notamment aux entreprises de faire des simulations pour identifier réellement le besoin des consommateurs et leur proposer des produits ou services adaptés.

Pour encadrer cette utilisation des données, la CNIL, à travers la loi sur la réglementation des données personnelles, a mis en place un certain nombre de devoirs auxquels aucune entreprise ne peut déroger.

Mais avant de les découvrir, ce guide vous propose d’abord d’en apprendre davantage sur le RGPD et ses principes. 

RGPD, c’est quoi ?

RGPD est le sigle de « Règlement Général sur la Protection des Données » en français ou « General Data Protection Regulation » en anglais. Le RGPD réglemente le traitement des données à caractère personnel sur l’ensemble de l’Union européenne.

Selon le RGPD, les « données personnelles » désignent un ensemble d’informations qui se rapporte à une personne physique identifiée ou identifiable. Cela suppose que ladite personne peut être identifiée directement ou indirectement. Cette identification peut être faite sur la base du traitement d’une seule donnée ou de l’association de plusieurs données.

Face à l’évolution vertigineuse de la technologie et de la mondialisation, le RGPD a été élaboré par la CNIL pour s’adapter au contexte actuel et futur. Cette loi sur les données personnelles n’est rien d’autre qu’une réglementation qui vient compléter la Loi française sur l’informatique et les libertés de 1978. 

Par la même occasion, elle donne aux internautes la possibilité d’avoir un regard sur le traitement et l’utilisation de leurs données individuelles. Dans le milieu des entreprises, ces données sont d’une importance capitale. Avec le rgpd, les professionnels disposent d’un cadre juridique formel pour déployer leurs différentes activités numériques.  

Le rgpd s’applique à tout type d’entreprise privée ou publique au sein de l’Union européenne et/ou y exerçant. Ainsi, à partir du moment où une entreprise traite des données personnelles d’un citoyen européen, elle doit respecter le RGPD. Ce sera le cas, par exemple, d’une société siégeant aux États-Unis et qui propose ses services et produits aux Européens par le biais d’un site e-commerce. Elle a l’obligation de se conformer aux exigences légales du rgpd.  

Les principes des règles de protection des données ?

Entré en application depuis quatre ans, le rgpd impacte toutes les entreprises qui utilisent des données personnelles de la population européenne à diverses fins. Son objectif premier est de consolider le droit des personnes. 

C’est ainsi que vous avez le droit à l’accès à vos données, le droit à l’oubli ou à l’effacement de ces données ainsi que le droit à la portabilité. Ce dernier droit vous offre la possibilité de faire la demande de récupération d’une copie des données que vous avez eu à fournir à une plateforme.

Cinq principes en tout régissent la protection des données personnelles au sein de l’UE. Il s’agit du :

Principe de sécurité et de finalité 

La personne responsable du fichier des données personnelles doit être garante du traitement, de la sécurité et de la confidentialité de son contenu. Elle se doit également de veiller à ce que seules les personnes dûment autorisées y aient uniquement accès dans l’entreprise. 

Principe d’une durée de conservation limitée 

Le rgpd n’autorise pas un traitement et une conservation illimitée des données personnelles. Ainsi, une durée de sauvegarde de ces données doit être fixée en tenant compte de la typologie de l’information ainsi que la finalité du fichier.

Principe de proportionnalité et de pertinence 

Les informations personnelles enregistrées se doivent d’être pertinentes et obligatoirement indispensables à l’atteinte d’un objectif précis par l’entreprise.

Principe de finalité 

La personne responsable du fichier ne peut en aucun cas utiliser les informations ou données sur les personnes physiques à des fins personnelles, mais dans un but précis et légal.

Principe du droit des personnes 

Il s’agit des droits des personnes ayant autorisé l’accès à leurs informations personnelles. Celles-ci ont le droit de demander et de recevoir les informations ayant été préalablement fournies à une entreprise. Avec ce principe, l’entreprise a donc un devoir de transparence.

Le respect de ces principes est assuré en France par la CNIL. La CNIL est la Commission Nationale de l’Informatique et des Libertés. Elle a pour rôle de veiller à la réglementation sur la protection des données et à leur harmonisation au sein de l’espace de l’Union européenne. 

En tant qu’organisme étatique indépendant, la CNIL à travers ses services, veille à la protection des données personnelles et à leur traitement informatique par les entreprises publiques et privées. 

Concrètement, elle permet à ce que l’informatique soit effectivement au service du peuple tout en ne portant pas atteinte à leur droit élémentaire. 

RGPD, que retenir des nouvelles obligations pour les entreprises ?

Le rgpd a fixé depuis le 25 mai 2018 un nouveau cadre juridique d’utilisation des données personnelles sur le continent européen. Ainsi, toutes les entreprises qui réalisent le traitement des données personnelles se doivent de s’y conformer. Le manque de respect vis-à-vis de ces réglementations peut donner lieu à des sanctions.

De façon globale, il y a six grandes choses qu’une entreprise doit respecter :

  • au moment de la collecte des données, l’entreprise doit avoir le consentement libre et éclairé de la personne ;
  • l’entreprise doit garantir à la personne le droit d’accéder à ses informations, le droit à l’oubli, à la portabilité, à la limitation des traitements et à la rectification ;
  • l’entreprise a l’obligation d’assurer la sécurité et la confidentialité des informations personnelles recueillies ;
  • l’entreprise doit avoir un registre de traitement des données personnelles et le tenir à jour ;
  • si besoin, l’entreprise doit avoir un Data Protection Officer ;
  • l’entreprise ne peut collecter que les données dont elle a réellement besoin et définir leur durée de conservation.

Le non-respect de ces recommandations peut coûter très cher à l’entreprise et au pire des cas mettre en péril sa survie. En effet, les sanctions peuvent atteindre une amende de 20 millions d’euros. Cela peut également être un taux de 4 % du chiffre d’affaires de l’entreprise au niveau mondial.

Voilà autant de raisons pour lesquelles, vous vous devez de mettre votre entreprise aux normes du rgpd si ce n’est pas déjà le cas. Cela vous évitera bien d’ennuis. Si vous ne savez pas comment procéder, vous pouvez demander conseil à un professionnel de droit informatique ou à un Data Protection Officer. 

Ce sont des spécialistes du domaine qui se feront un plaisir de vous aider pour mettre votre entreprise aux normes exigées par le rgpd et la CNIL. La gestion des données personnelles n’est plus à prendre à la légère de la part des entreprises.