RGPD, comment éviter la sanction ?

Le RGPD

Le Règlement général sur la Protection des Données, ou RGPD, est applicable en France, et c’est la Commission nationale de l’informatique et des libertés (CNIL) qui est en charge de veiller qu’il soit respecté par les différents acteurs économiques concernés par cette nouvelle norme européenne, entrée en vigueur en 2016 et applicable en France depuis le 25 mai 2018.

Afin d’éviter les sanctions appliquées par la CNIL, il devient nécessaire de respecter les normes imposées par le RGPD en matière de protection des données personnelles.

L’enjeu est d’autant plus important que le RGPD prévoit de lourdes sanctions en cas de non-respect des nouvelles dispositions.

pexels-photo-534204.jpg

Non-respect du RGPD = Sanctions sévères.

Si la Commission nationale de l’informatique et des libertés constate des irrégularités ou des manquements aux obligations des professionnels concernés par le RGPD, elle est désormais en mesure d’appliquer de fortes sanctions.

 À titre informatif, ces sanctions peuvent aller jusqu’à 20 millions d’euros ou bien 4% du chiffre d’affaires total d’une société. Les enjeux financiers pour les professionnels sont donc considérables et la CNIL a d’ores et déjà sanctionné plusieurs sociétés qui ne respectaient pas le cadre juridique du RGPD.

RGPD-1.png

Pour éviter les sanctions

1/ Réaliser un état des lieux

Si le RGPD impose les mêmes obligations à tous, tous ne partent pas du même stade en la matière. D'où la nécessité de réaliser un diagnostic afin de mettre en évidence l'ampleur des actions à déployer pour être en conformité :

Quelles sont mes données sensibles et quel est leur nombre ? Comment les catégoriser pour mieux les identifier ? Ou sont-elles hébergées et par qui ? Pour réaliser cette cartographie précise, un état des lieux s'impose.

 2/ Prioriser les actions et établir des procédures de sécurisation

On l'aura compris, la sécurisation des données personnelles allie autant volet RH, qu'organisationnel ou technique. Cette priorisation doit être menée à l'aune des risques que font peser vos traitements de données personnelles sur les libertés des personnes concernées. Certaines tâches pourront être réalisées aisément « via le recours à des logiciels adaptés de traitement des données ou de protection des réseaux.

3/ Identifier un délégué à la protection des données

C'est une mesure phare du RGPD : la désignation en interne d'un délégué à la protection des données. Pilote de la gouvernance des données personnelles de votre structure, ce chef d'orchestre a pour lourde tâche de coordonner toutes les actions de mise en conformité. 

4/ Maintenir la conformité dans le temps en identifiant un Délégué à la Protection des Donnée

La protection des données personnelles doit s'imposer en amont de la conception de tout projet (protection par conception) mais aussi être maintenue dans le temps (protection par défaut) puisque toute personne concernée peut désormais s'opposer à la collecte ou sauvegarde de ses données personnelles.

Pour assurer en permanence un haut niveau de protection et de traçabilité de ces données, des procédures doivent être conseillées par le Délégué à la Protection des Données.

C'est une mesure phare du RGPD : la désignation d'un délégué à la protection des données. Pilote de la gouvernance des données personnelles de votre structure, ce chef d'orchestre a pour lourde tâche d’analyser, de conseiller et de suivre l’application de toutes les actions de mise en conformité au sein d’une société. 

Ces processus encadrent les aléas survenant au cours de la vie d'un traitement : gestion des demandes de rectification ou d'accès, modification ou suppression de telle collecte, changement de prestataire… Mais aussi, l’apparition d’une faille de sécurité.

Pour toute question concernant les normes RGPD, contactez-nous.