Nous contacter.
07 81 41 17 25

Quelles sont les obligations RGPD pour les entreprises ?

Publié le 26 décembre 2021



Initié en 2016, et applicable depuis le 25 mai 2018 le RGPD, ou Règlement Général sur la Protection des données fixe un nouveau cadre juridique obligatoire pour les organisations quant au traitement des données à caractère personnel.

Mais alors quelles sont les obligations RGPD à adopter pour les organisations afin d’entrer en conformité ?



Le RGPD, quel objectif pour les entreprises ?

Quelles sont les obligations RGPD pour les entreprises ?

Le Règlement Général sur la Protection des données vise à répondre à deux objectifs principaux :

  • Protéger les personnes physiques face au traitement des données susceptibles de les identifier et renforcer leurs droits et leurs libertés individuelles.
  • Permettre aux entreprises et aux organisations de travailler dans un principe d’ ”accountability”. C’est-à-dire de les responsabiliser au sujet afin qu’elles appliquent l’autocontrôle.

Ce nouveau Règlement fixe ainsi un nouveau cadre juridique applicable au niveau européen et donc de nouvelles obligations RGPD pour les entreprises, administrations, collectivités, et associations etc.

Une violation du règlement peut entraîner des amendes administratives allant de 2% à 4% du chiffre d’affaires annuel (selon le manquement constaté). Le risque financier est donc si important qu’il peut, dans certains cas, mettre en péril la pérennité de l’entreprise. D’où l’importance de respecter les obligations RGPD.





Quelles sont les obligations RGPD essentielles à appliquer ?

1- Mise en œuvre de mesures de sécurité et de confidentialité

Les responsables du traitement des données d’une entreprise doivent s’assurer de la mise en place de mesures de sécurité et de confidentialité pour les données à caractère personnel qu’elles traitent.

L’objectif est de protéger les données face aux risques de déformation, d’endommagement ou de fuite. Cela passe par différents types actions :

  • Limiter la quantité de données traitées à celles uniquement utiles pour le fonctionnement de l’entreprise. C’est ce qu’on appelle le principe de minimisation
  • Limiter les accès aux données aux personnes disposant d’une autorisation spéciale
  • Respecter le principe de durée de conservation des données à caractère personnel
  • Mettre en place des procédures techniques de cybersécurité telles que le cryptage de données

 

2- Consentement à la collecte des données sauf si …

Point fondamental du RGPD, la demande de consentement au moment de la collecte des données doit se faire de manière claire et explicite. Elle est obligatoire sauf si cette collecte est nécessaire pour respecter une obligation légale (exemple relation employeur/salarié), pour respecter la sauvegarde des intérêts vitaux de la personne, pour mener à bien une mission d’intérêt public ou une mission menée par une autorité publique.

Au-delà de ces exceptions, sans accord préalable vous ne pourrez procéder à cette collecte.

Ce principe de consentement s’étend notamment sur le web lorsque les sites utilisent des cookies supplémentaires, “non essentiels” à leur fonctionnement. Les internautes doivent trouver la possibilité d’accepter ou de refuser l’installation des cookies lors de leur navigation.

3- Obligation d’information et droits des personnes

La collecte des données implique également l’obligation pour les entreprises d’informer les personnes concernées quant à, par exemples :

 

En parallèle, le RGPD dispense différents droits aux personnes dont les données ont été collectées :

  • Droit d’accès : en tant qu’entreprise vous devez permettre à vos clients/salariés de connaître les informations que vous disposez sur eux.
  • Droit à l’oubli : ces personnes peuvent également vous demander de supprimer ces informations dans leur totalité ou en partie sous conditions.
  • Droit de rectification : des informations considérées comme erronées, leur donne le droit de vous demander de les corriger
  • Droit à la limitation des traitements qui consiste à geler l’utilisation des données temporairement si elles sont considérées comme non conforme ou en cas de litige.
  • Droit à la portabilité permet à ces personnes de demander la répétition de leurs données auprès de votre entreprise afin de les transmettre à un tiers.

 

4- Registre de traitement des données

Le registre de traitement des données correspond à un inventaire des données traitées au sein de votre entreprise. Il permet de conduire la mise en conformité RGPD et doit être régulièrement mis à jour.

Il recense notamment :

  • la finalité du traitement
  • les bases légales
  • les types de données collectées
  • la durée de conservation
  • les personnes ayant accès aux données et à quelle échelle
  • etc.

 

Le registre de traitement des données est obligatoire pour toute organisation traitant des données de manière non occasionnelle sur le territoire de l’espace économique européen.

5- Nommer un DPO

Certaines entreprises ont l’obligation de désigner un délégué de la protection des données ou Data Protection Officer (DPO) en anglais. Il s’agit notamment :

  • des autorités et organismes publics
  • des organismes qui traitent des données à caractère personnel à grande échelle de manière régulière. Exemple :  ciblage webmarketing, utilisation des cookies et d’outils de tracking, compagnies d’assurance, opérateurs téléphoniques etc.
  • des organismes qui traitent des données sensibles à grande échelle : Exemple : données liées à la religion, à la race, à l’ethnie, à l’appartenance politique et/ou syndicale, à une condamnation pénale, etc.

Ces missions, définies dans les articles 38 et 39 du Règlement Général sur la Protection des données, consistent à assurer la conformité RGPD de l’entreprise et à sensibiliser, conseiller les salariés et collaborateurs dans leurs activités quotidiennes.

Information : la CNIL laisse le choix aux entreprises de nommer le DPO de manière interne, ou de faire appel à un DPO externe.

Besoin de vous faire accompagner pour votre audit RGPD ?
Pour votre mise en conformité ?
Contactez AP3R, votre consultant RGPD à Angers et sa région !