Qu’est-ce que le règlement général sur la protection des données ?
Le RPGD a pour objectif principal de redonner aux citoyens le contrôle sur leurs données personnelles ce qui suppose de nouvelles obligations pour les entreprises.
Cette réforme revêt une importance particulière pour ces dernières car chaque citoyen issu de l’Union Européenne aura la possibilité d’imposer l’application dudit règlement afin de faire valoir ses droits et garanties à toute entreprise collectant des données personnelles. Il faut préciser qu’à partir du moment où une entreprise effectue des traitements de données personnelles, elle sera concernée par cette réforme.
Pourtant, malgré sa grande importance, 45 % des entreprises interrogées ignorent l’existence et les conséquences de ce nouveau règlement selon l’enquête SERDA. Or, de nombreuses modifications vont devoir être effectuées par ces dernières afin d’être en conformité avec le règlement.
Quelles sont les risques en cas de non-conformité ?
Afin de s’assurer de l’application de la réforme, les rédacteurs ont mis en place des sanctions beaucoup plus importantes que celles prévues ultérieurement.
Les autorités de protection peuvent notamment prononcer contre les responsables de traitement un avertissement, ordonner de satisfaire aux demandes d’exercice des droits des personnes, ordonner la rectification, la limitation ou l’effacement de données, suspendre les flux de données, limiter temporairement ou définitivement un traitement ou encore mettre en demeure l’entreprise.
Les responsables de traitement telles que les entreprises peuvent faire l’objet d’amendes pénales et d’amendes civiles. Des amendes pénales étaient déjà prévues auparavant et ne changent pas. En ce qui concerne les amendes administratives, l’article 83 du RPGD prévoit des montants très importantes : de 2 à 4% du chiffre d’affaire annuel mondial en ce qui concerne les entreprises.
Ainsi, comment éviter ces risques et être conforme avec le RGPD ?
Il conviendra pour les grandes entreprises, dans un premier temps, de désigner un délégué à la protection des données (article 37 du RGPD). Ledit délégué aura des missions de contrôle, de conseil et de contact avec l’autorité de contrôle.
Cette désignation n’est obligatoire que lorsque le traitement est effectué par une autorité publique ou un organisme public à l’exception des juridictions, lorsque les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature et de leur portée et/ou de leur finalité, exigent un suivi régulier ou systématique à grande échelle des personnes concernées.
Ensuite, les entreprises vont devoir tenir un registre des traitements des données personnelles qu’elles ont mis en œuvre et, déclarer leur finalité.
Lors du traitement des données, les entreprises vont devoir respecter le droit de consultation, de rectification et de destruction des données des personnes dont les informations ont été récoltées. Par ailleurs, les informations récupérées ne pourront pas être stockées indéfiniment. En effet, le règlement impose que le stockage des données soit limité à la durée du traitement.
Il faut savoir que la gestion des risques constitue une des étapes menant la conformité avec le règlement. En effet, dès lors qu’un traitement des données personnelles engendre trop de risques pour les droits et libertés des personnes, une analyse d’impact sur la protection des données doit être effectuée.
Il est aussi important que les entreprises puissent prouver leur conformité au règlement. Ainsi, ils vont devoir constituer et regrouper la documentation nécessaire de manière régulière afin de les maintenir à jour.
Il est alors nécessaire pour les entreprises de s’adapter à ces nouveautés dès aujourd’hui afin d’être conforme avec ce règlement lors de son entrée en vigueur.
