Etre en conformité
Quelques questions pour valider sa conformité
Le RGPD s’applique à toutes les entreprises, associations, fondations, personnes publiques à partir du moment où elles collectent des données personnelles définies comme des données permettant d’identifier une personne physique ou de la rendre identifiable.
En cas de contrôle et de non-respect du RGPD, l’intervention de la CNIL varie en fonction de la gravité des violations :
- Avertissement avec une mise en demeure à l’organisme en vue de le contraindre à se mettre en conformité
- Suspendre temporairement les traitements de données
- Amende sur le chiffre d’affaires :
- Jusqu’à 2 % du chiffre d’affaires mondial de l’entreprise ou 10 millions d’euros pour des violations comme le défaut de tenue d’un registre des traitements, le défaut d’annonce suite à une faille décelée ou encore le défaut d’étude d’impact sur la vie privée (en cas de données sensibles)
- Jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros en cas de refus d’obtempérer face aux injonctions de la CNIL, en cas de traitements de données illégaux, de défaut de consentement, de manque de prudence lors des transferts transfrontaliers de données, de non-respect des droits des personnes.
Si une personne touchée par ces violations porte plainte, il peut s’ajouter des demandes de dommages et intérêts.
En cas de contrôle de la CNIL, vous devez être en mesure de garantir la protection des données personnelles et de démontrer les mesures prises à cet effet.
Il convient donc de se poser les questions suivantes :
- Dans quelle mesure la définition de « données à caractère personnel » donnée par le RGDP s’applique-t-elle aux données collectées par votre entreprise ?
- Où sont stockées ces données à caractère personnel dans l’entreprise ?
- Ou sont-elles transférées (fournisseurs, sous-traitants, tiers…) ?
- Comment sont-elles sécurisées tout au long de leur cycle de vie ?
- Quelles politiques et procédures doivent être revues ou crées afin de respecter les dispositions du RGPD ?
- Est-ce que je collecte des données que l’on pourrait qualifier d’« interdites » (sensibles, d’infractions pénales, de sécurité sociale) ?
- Les données sont-elles collectées de manière loyale et licite ?
- Si oui, sont-elles bien proportionnées à la finalité du traitement ?
- Mon entreprise est-elle parfaitement sécurité et protège-t-elle efficacement les données des utilisateurs ?
- Ai-je défini une politique de conservation et d’archivage de ces données ?
- Une procédure relative aux droits des personnes sur leurs données a-t-elle été définie (droit d’accès, de suppression…) ?
- Y a-t-il transfert de ces données hors de l’Union Européenne ?
Comment être en conformité ?
Voici quelques actions que les entreprises, associations, fondations, personnes publiques doivent entreprendre afin de se mettre en conformité avec les obligations et les procédures du RGPD :
- Faire une photographie à l’instant « T » de la collecte des données et de leur utilisation, analyser l’état de conformité, élaborer et appliquer un plan d’action correctif en priorisant les éléments à risques.
- Mettre en place une procédure de gestion des violations des données à caractère personnel afin d’identifier, de faire remonter et de gérer les violations de manière efficace pour que les autorités de contrôle concernés en soient rapidement informées.
- Concernant les transferts de données internationaux, établir des listes de diligences à effectuer et prévoir des accords relatifs au traitement des données avec les clients et les fournisseurs, en intégrant les clauses européennes types ou les « règles internes d’entreprise » le cas échéant.
- Fournir des instructions sur la collecte des données à la fois détaillées, claires et simples.
- Revoir et mettre à jour les politiques de l’entreprise de destruction et de conservation de documents.
- Revoir et mettre à jour les procédures permettant aux utilisateurs d’accéder à leurs données personnelles qui ont été collectées.
- Concevoir, appliquer et tester des politiques et des procédures afin de veiller au respect des droits dans les délais prévus par le RGPD.
- Former le personnel de l’entreprise
- Vérifier si l’entreprise doit désigner un délégué à la protection des données
- Envisager d’ajouter la cybersécurité et la protection contre la violation des données au programme d’assurance déjà existant