Le Règlement général sur la protection des données a pris une place très importante dans l’actualité. En effet, ce texte a été voté en 2016 mais a été mis en application seulement le 25 mai 2018  dans l’Union Européenne. Cette nouvelle loi, est donc obligatoire pour toutes les entités (entreprise, associations…) manipulant des données personnelles concernant des Européens.
 

Qu’est- ce que le RGPD ?

Le RGPD ou Règlement général sur la protection des données personnelles, est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces informations sur lesquelles les entreprises s’appuient pour proposer des services et des produits. Ce texte couvre l’ensemble des résidents de l’Union européenne.
 

Quelles sont les obligations ?


Comme nous le dit l’article 4 de la loi sur la protection des données à caractère personnel, « la responsabilité de la mise en œuvre de la protection des données repose sur l’employeur puisqu’il sera considéré comme le responsable du traitement ». L’employeur doit donc vérifier que le système qu’il utilise est conforme à la réglementation sur les données personnelles, ceci rentre dans la notion de privacy by design : « met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées », conformément à l’article 25.   Aussi, une nomination d’un DPD (délégué à la protection des données) ou DPO (data protection officer), successeur du CIL (Correspondant Informatique et Libertés) devra être mise en place notamment pour les traitements de données à grande échelle, en effet d’après l’article 35, le DPD devra avoir, « une connaissance approfondie du droit et des pratiques de protection des données ». Enfin, un niveau expert en informatique devra peut être nécessaire, « en fonction des opérations de traitement de données effectuées et de la protection requise pour les données personnelles traitées par un contrôleur ou un processeur ». D’après l’article 30, une entreprise de plus de 250 salariés, aura obligations de tenir un registre. 


Concrètement cela veut dire qu’il faut mettre en place ces mesures :

• -          Avoir la possibilité de rectifier ou effacer des données inexacte voir de les supprimer de manière définitive.
  
• -          Garantir la sécurité des données.
  
• -          Création d’un processus spécifique de l’entreprise liée au RGPD.
  
• -          Désignation  ’un DPD (délégué à la protection des données) ou DPO (Data protection officer).
  
• -          Obligation de tenu d’un registre. (<250 salariés). 
  

Quelles sont les sanctions mises en place si l’on de respecte pas la loi ? 


Les entités ont tout intérêt à respecter à la lettre le RGPD car les plafonds des sanctions sont particulièrement élevés : en cas d’infraction, des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent sont prévues pour l’organisme fautif. 


Il ne vaut mieux pas se frotter à la loi !