GDPR RGPD

Juridique

Protection des données personnelles : quelles obligations pour les entreprises ?

Publié il y a 3 ans
Quels sont les apports et grandes lignes du RGPD ?
RGPD

Juridique

Protection des données personnelles : quelles obligations pour les entreprises ?

Publié il y a 3 ans

Les points principaux

Champ d'application Les apports Les grandes lignes
Quels sont les apports et grandes lignes du RGPD ?

Êtes-vous véritablement en conformité avec le RGPD ?

Selon l’enquête « Covid 19 et RGPD » effectuée par Data Legal Drive en 2020, seulement 1 site web sur 3 répondrait en réalité aux exigences fixées par le règlement européen.Salariés, clients ou fournisseurs, les entreprises traitent aujourd’hui de nombreuses données personnelles au quotidien. Pour autant, respecter la vie privée des individus est un enjeu majeur et le traitement de ces informations doit être réalisé avec minutie et faire l’objet d’une protection optimale.Quelles obligations pèsent alors sur l’entreprise pour assurer leur sécurité ? Analysons les différentes dispositions visées dans le RGPD pour garantir le respect des libertés individuelles et la protection des données personnelles.

RGPD et protection des données personnelles

Les données personnelles font aujourd’hui l’objet d’un strict encadrement. Défini au sein d’un texte : le RGPD (Règlement Général sur la Protection des Données), son champ d’application a vocation à s’étendre sur l’ensemble du territoire de l’Union européenne. De même, il s’inscrit en continuité de la législation française « informatique et libertés » de 1978. Et ce règlement est bénéfique à plus d’un titre :

  • il permet aux citoyens de contrôler l’utilisation qui peut être faite de leurs données personnelles ;
  • il offre un cadre juridique unique à l’ensemble des professionnels en Europe ;
  • il permet le développement d’activités numériques en UE fondé sur la confiance des utilisateurs.
  • Il favorise la circulation des données personnelles de façon sécurisée

Les entreprises seront quant à elles plus ou moins concernées par cette réglementation en fonction de la nature de leur activité. L’approche du RGPD étant basée sur la gestion des risques, elle permet une certaine marge de manœuvre et offre une mise en place de solutions personnalisées dans le cadre de la protection des données personnelles.Bon à savoir : Même si votre entreprise est établie hors de l’Union européenne, sachez que les obligations du RGPD vous concernent dans la mesure ou vous proposez des services ou produits à une clientèle européenne.

À qui s’adresse le RGPD ?

Le RGPD s’applique autant aux organismes publics que privés peu importe leur taille ou l’activité visée. Du moment que l’entreprise traite des données personnelles (pour son compte ou celui d’une autre entité), elle sera soumise à cette réglementation.

Comment le RGPD protège les données personnelles ?

Le consentement de la personne est renforcé

Le traitement des données personnelles peut être subordonné au consentement des individus. Défini aux articles 4 et 7 du RGPD, ce consentement est renforcé et doit alors être communiqué :

  • librement ;
  • de façon spécifique (pas de consentement pour plusieurs finalités) ;
  • il doit être éclairé (après information) et univoque.

Et si ce principe était déjà présent dans la loi de 1978, le RGPD est venu renforcer cette notion de consentement dans la protection des données personnelles en intégrant notamment :

  • un droit de retrait : la personne a la faculté de retirer à tout moment son consentement par un moyen simple ;
  • une preuve de consentement : l’entreprise doit disposer des preuves que le consentement a été établi légalement.

L’obligation de sécurisation des données personnelles

En informatique on le sait le risque zéro n’existe pas. Toutefois, prendre les mesures adéquates pour sécuriser et assurer la protection des données personnelles est essentiel. Qu’il s’agisse de moyens informatiques ou physiques, le degré de sécurité variera en fonction des données traitées et des risques qu’elles font peser sur les personnes en cas d’incident. Certaines pratiques sont simples et faciles à mettre en place comme :

  • la désignation d’un Délégué à la Protection des données (DPO) ou d’un référent ;
  • la réalisation de diagnostics de conformité ;
  • la mise en place de process pour être en adéquation au RGPD ;
  • la sensibilisation des équipes
  • la mise en place de mots de passe dotés d’une complexité suffisante ;
  • la réalisation de sauvegardes régulières ;
  • mettre en place une procédure de sauvegarde et récupération des données pour se prémunir en cas d’incident ;
  • chiffrer certaines données, etc.

Cela permettra d’assurer une protection des données et donc du patrimoine informationnel de votre structure, tout en limitant le risque de piratages, fuites ou pertes d’informations. Cette sécurisation des informations constitue une responsabilité essentielle qui pèse sur l’entreprise. Ainsi, l’organisme doit s’assurer que les données sont véritablement stockées dans un lieu sécurisé et que l’accès à ces informations reste limité à des personnes compétentes (dans la limite de leurs missions), ayant des connaissances en matière de RGPD.

La documentation du traitement de données

Du moment qu’une entreprise recueille des données personnelles, elle doit encadrer ce traitement d’informations et le documenter. Pour ce faire, l’organisme devra notamment renseigner, au sein d’un registre des traitements :

  • les buts dans lesquels les données sont utilisées
  • la durée de conservation des données;
  • les catégories de données
  • les catégories d’individus détenant un accès à l’information, etc.

L’entreprise devra respecter le principe de minimisation : restreindre le nombre de données à ce qui est nécessaire ou utile pour atteindre la finalité recherchée.

L’obligation de transparence dans le traitement des données

En sa qualité de responsable du traitement des données personnelles, l’entreprise doit porter à la connaissance des individus les différentes informations prévues aux articles 13 et 14 du RGPD telles que :

  • l’identité et les coordonnées du responsable de traitement ;
  • la finalité du traitement de données.
  • le fondement juridique autorisant le traitement de ces données ;
  • les personnes ayant accès à ces données ;
  • la durée de conservation des informations recueillies, etc.
  • les droits dont la personne dispose

L’ensemble de ces informations auront pour but d’assurer une totale transparence pour le consommateur, internaute, client ou salarié. L’entreprise doit également conserver la preuve que l’individu a bien reçu ces informations et pris connaissance de la politique de confidentialité des données. Ainsi, pour chaque recueil d’informations personnelles, les mentions d’informations doivent être présentes peu importe le support utilisé.Le saviez-vous ? La DPA (Autorité néerlandaise de protection des données) a condamné TikTok à une amende de 750 000 € pour avoir porté atteinte à la vie privée des enfants et adolescents. Une enquête est ouverte depuis juin 2020 pour manque de transparence de la part de l’application. Cette dernière proposait en effet des conditions d’utilisation et politique de confidentialité en anglais plutôt qu’en néerlandais. Le géant TikTok a fait appel de la décision, affaire à suivre donc.

La durée de conservation des données personnelles

Outre l’obligation de ne conserver les données que le temps nécessaire à l’atteinte des objectifs recherchés, le RGPD ouvre la possibilité d’exercer un droit à l’oubli. Également prénommé droit à l’effacement, cela signifie que les individus concernés par les données personnelles sont en droit de réclamer un effacement total des informations (ce droit n’est toutefois pas absolu, et est soumis à conditions). Les organismes peuvent également être soumis à des délais particuliers de conservation en fonction de leur activité. La durée légale de conservation de bulletins de salaire ou contrat de travail pour un service RH est par exemple de 5 ans.

Le signalement des violations de données personnelles

Pour répondre au mieux aux situations d’urgence, l’entreprise a également pour obligation d’informer les autorités compétentes comme la CNIL lorsqu’une violation des données est avérée. Cette dernière doit mettre en péril la protection des données personnelles. Le délai pour notifier la violation à la CNIL est de 72 heures. Dans le cas où la violation représente un risque important sur la vie privée des personnes, l’entreprise doit également informer les personnes concernées dans les plus brefs délais.

La coopération de l’entreprise avec les autorités de contrôle

Enfin, pour assurer la protection des données personnelles, les entreprises sont également tenues de coopérer avec les autorités compétentes. L’objectif consiste à faciliter le contrôle et la conformité avec le RGPD.

Les exigences réglementaires en matière de protection de données personnelles font donc l’objet d’un strict encadrement au sein de l’Union européenne. Vous désirez vous conformer au RGPD mais ne savez pas par où commencer ? Bénéficiez dès à présent d’un accompagnement sur mesure avec un véritable expert de la protection de données personnelles : Data Need Advice. DPO certifiés AFNOR et Délégués à l’éthique numérique nous mettons tout notre savoir-faire à votre service. Alors, n’attendez plus, contactez-nous

Du même thème

Audit RGPD Entreprise
Juridique

Pourquoi et comment réaliser un audit RGPD en entreprise ?

Lire
RGPD DPO
Juridique

Quel rôle pour le DPO dans le RGPD ?

Lire
4 étapes conformité
Juridique

La mise en conformité RGPD de votre entreprise en 4 étapes

Lire
Voir d'autres publications
Nous utilisons
des cookies.

Il s'agit de petits fichiers déposés sur votre machine pour un temps défini (et pas plus). Certains sont techniquement nécessaires, les autres sont utiles au bon fonctionnement de notre site ("statistiques").

En savoir plus

Ce site web,
comme la plupart,
utilise des cookies.

Vous pouvez les accepter ou vous y opposer, à vous de voir. Mais laissez-nous vous expliquer le pourquoi du comment, afin d'éclairer votre choix :

Sur internet, la collecte et le traitement des données sont omniprésents, et peuvent résulter d'une simple navigation sur un site web.....grâce à ces petites choses que l'on appelle les "Cookies". Il s'agit de petits fichiers déposés sur votre machine pour un temps défini (et pas plus), permettant de conserver des données relatives à votre navigation.
Comme notre site n'échappe pas à la règle, nous utilisons des Cookies.
Certains sont techniquements nécessaires. D'autres sont des outils pour analyser notre trafic (en prenant soin de ne pas vous identifier), utiles au bon fonctionnement de notre site et à sa sécurité. Vous pouvez accepter ou vous opposer à leur dépôt.

Les cookies nécessaires

Les cookies nécessaires contribuent à rendre un site Web utilisable en activant des fonctions de base comme la navigation de page et l'accès aux zones sécurisées du site Web. Le site Web ne peut pas fonctionner correctement sans ces cookies. C'est la raison pour laquelle votre consentement n'est pas requis.

Nom Fournisseur Expiration Type
dna_consent DNA 13 mois HTML
Stocke l'autorisation d'utilisation de cookies pour le domaine actuel par l'utilisateur.
dna_type DNA 10 minutes HTML
Ce cookie est utilisé pour distinguer les humains des robots.
dna_contact DNA 10 minutes JSON
Ce cookie est utilisé pour préremplir le formulaire de la page contact en fonction des actions de l'utilisateur.
SERVERID OVH Session HTML
Un cookie technique utilisé par notre hébergeur pour faire de la répartition de charge serveur.

Les cookies comme outils pour nos statistiques

Ces traceurs de mesure d'audience ont pour seul but l'élaboration de statistiques de fréquentation et de performance dans un souci de bon fonctionnement et d'amélioration de notre Site. Nous sommes les seuls à les utiliser, ils ne nous permettent pas un suivi global de votre navigation, et les statistiques émises sont strictement anonymes (réalisées par le biais de Matomo). Votre consentement n'est pas requis, mais vous pouvez vous opposer à leur utilisation en décochant la case correspondante. Cette opposition n'aura aucune incidence technique sur votre navigation.

Nom Fournisseur Expiration Type
_pk.id DNA - MATOMO 13 mois html
Utilisé pour stocker quelques détails à propos de l'utilisateur tel que son identifiant unique.
_pk.ses DNA - MATOMO 30 minutes HTML
Cookie à courte vie utilisé pour stocker temporaire des données sur la visite.
mtm_cookie_consent DNA - MATOMO 12 mois HTML
Est créé pour se souvenir du consementement de l'utilisateur pour stocker et utiliser des cookies statistiques.