Règlement Général sur la Protection des Données (RGPD)

Depuis le 25 mai 2018, le RGPD a pour but de protéger les données des individus au sein de l’union européenne.

Il s’applique à toute organisation qui traite des données à caractère personnel.

Qu’est ce qu’une donnée personnelle ?

Toute information, identifiant directement ou indirectement une personne physique.

Quelques exemples de données:

  • -Nom, n° d’immatriculation, n° de téléphone, n° de SS, date de naissance, commune de résidence….
  • ou l’ensemble des informations permettant de discriminer une personne au sein d’une population tels que:
  • -donnée physique, physiologique, génétique, psychique, économique, culturelle, sociale, sa profession,son sexe, son âge…


Qu’est ce qu’un traitement ?

La collecte, l’enregistrement, le classement, la conservation, l’extraction, le rapprochement, la destruction, la consultation, la transmission ou toute autre forme de mise à disposition sont des exemples de traitement.

Attention: Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papiers sont également concernés et doivent être protégés dans les mêmes conditions.

Qui est concerné ?

Le RGPD s’applique à toute organisation (entreprise, association, collectivité, publique et privée) qui traite des données personnelles.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Concrètement la grande majorité des organisations est concernée, puisqu’elles collectent des données de ses salariés ou adhérents (n° de SS, RIB, coordonnées…) et/ou de ses clients (fichiers clients, coordonnées…)

Que devez vous faire ?

Voici quelques étapes résumées ci-dessous:

Etablir un registre de traitement:

  • Cartographier  les activités nécessitant la collecte et le traitement de données.
  • Préciser pour chaque activité (Les acteurs, les catégories de données, le descriptif du risque, le but, les flux, les mesures de sécurité etc…)
  • Identifier et prioriser les actions à mener.
  • Documenter, informer, définir les rôles et établir les procédures
  • Trier les données collectées et stockées
  • Respecter le droit des personnes
  • Protéger les données
  • Prévenir la CNIL dès qu’il y a une perte de données avérée ou supposée.

  •  

Les risques en cas de non-conformité

Les amendes administratives peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2%  à 4% du CA annuel mondial, le montant le plus élevé étant retenu.

Par ailleurs, les autorités de contrôle (en France, la CNIL) peuvent notamment :

  • Prononcer un avertissement ;
  • Mettre en demeure l’entreprise ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
  • Ordonner la rectification, la limitation ou l’effacement des données.

Au-delà de la sanction financière, une non-conformité peut nuire gravement à votre image. Car vous êtes dans l’obligation de prévenir tous vos clients, en cas de plainte et/ou de perte de données.

Notre process issu de notre expérience dans l’évaluation des risques est particulièrement adapté au PME/TPE.