RGPD : Découvrez en 5 questions, les éléments clés pour être en conformité !
Il est primordial d’assurer votre mise en conformité RGPD, mais pourquoi ?
Le Règlement Général sur la Protection des Données ou RGPD est un règlement européen adopté le 27 avril 2016 et entré en vigueur le 25 mai 2018. Ce règlement est considéré comme un droit fondamental pour les résidents européens et a pour vocation de protéger les données personnelles dans toute l’Union Européenne et prévenir tout abus. Il est donc primordial de bien comprendre ses exigences car nul n’est à l’abri d’un éventuel contrôle de l’autorité chargée de vérifier la conformité des acteurs économiques aux exigences.
Au travers de 5 questions, découvrez l’interview de notre expert, Fouad SAOU, Juriste chez Xelians !
Le risque de sanction est-il le même pour toutes les entreprises ?
Tout organisme traitant des données à caractère personnelles est soumis aux obligations du RGPD et est exposé à un éventuel contrôle inopiné de la CNIL ayant pour objectif de vérifier la conformité de l’organisme avec le RPGD.
En cas de non-conformité, l’autorité de contrôle a la possibilité de prononcer un rappel à l’ordre, ordonner la mise en conformité de l’organisme voire de prononcer des amendes administratives pouvant s’élever à 20 millions d’euros ou 4% du chiffre d’affaires mondial.
Depuis l’entrée en vigueur du RGPD, la CNIL a déjà sanctionné des entreprises de tout type et de toute taille, allant du GAFA, aux associations, et en passant par des commerces de détail. Sur le site de la CNIL, vous retrouverez la liste des sanctions prononcées.
La collecte de données personnelles nécessite-t-elle le recueil systématique de consentement ?
Le consentement des personnes concernées n’a pas à être systématiquement recueilli lors de la collecte pour pouvoir traiter leurs données personnelles.
En effet, selon le contexte de la collecte, il existe au total cinq bases juridiques permettant de collecter des données sans consentement de la personne concernée telles que l’exécution d’un contrat, l’intérêt légitime etc.
Par ailleurs, s’il n’est pas toujours obligatoire de collecter le consentement des personnes concernées, il est impératif de leur délivrer, lors de la collecte, une information suffisamment claire quant aux modalités du traitement, telles que l’identité et les coordonnées du responsable de traitement, les finalités du traitement, les durées de conservation des données personnelles, leurs droits etc.
Quelle est la différence entre principe de minimisation et limitation de conservation ?
Ces deux principes peuvent présenter un esprit similaire mais impliquent des dispositions différentes.
Le principe de « minimisation de la collecte » implique que les données personnelles collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. C’est-à-dire que seule la quantité minimale de données doit être recueillie et conservée pour un traitement spécifique.
Quant au principe de « limitation de la conservation », il implique que les données personnelles soient conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
En d’autres mots, les données personnelles qui ne sont plus requises ou nécessaires au regard des finalités poursuivies doivent être supprimées.
Guide des durées légales de conservation des documents |
Est-il obligatoire de désigner un DPO au sein de son organisme ?
Pour rappel, le rôle du Délégué à la Protection des Données, ou DPO (pour « Data Protection Officer»), est très important au sein de votre organisme car il assure notamment les missions de conseil en interne au sujet des données personnelles, il agit en tant que point de contact avec la CNIL ainsi qu’avec les organismes tiers impliqués dans un traitement de données personnelles effectué par votre organisme.
Le RGPD rend obligatoire la désignation d’un DPO au sein des organismes publics.
Cette désignation est également obligatoire pour les entreprises du secteur privées dont les activités concernent des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ou qui concernent des données dites « sensibles » (données de santé, relatives à des infractions pénales etc.).
A quel moment doit-on réaliser une analyse d’impact ?
L’analyse d’impact est obligatoire dès lors que le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, c’est-à-dire, dans les cas suivants :
- Soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données,
- Soit le traitement remplit au moins deux des neuf critères suivants :
– Evaluation/scoring (y compris le profilage),
– Décision automatique avec effet légal ou similaire,
– Surveillance systématique, collecte de données sensibles
– Données à caractère hautement personnel,
– Collecte de données personnelles à large échelle,
– Croisement de données,
– Personnes vulnérables (patients, personnes âgées, enfants, etc…),
– Usage innovant (utilisation d’une nouvelle technologie),
– Exclusion du bénéfice d’un droit/contrat.
Le critère de collecte de personnes dites « vulnérables » n’est pas, à lui seul, un critère de réalisation de PIA. Un arbre décisionnel relatif à l’analyse d’impact est mis à disposition sur le site de la CNIL.
Avec les offres de Xelians, vous êtes accompagné dans le pilotage de l’ensemble des exigences du « Règlement Général sur la Protection des Données ».
Contactez nos expertsDécouvrez notre offre de mise en conformité RGPD