Qu'est ce qu'une donnée à caractère personnel ?
Les obligations du RGPD sont nombreuses. Nous vous présentons donc les exigences clés qu'une entreprise doit respecter afin d'être en conformité avec le règlement.

• Informer de leurs droits toutes les personnes physiques dont des données à caractère personnel sont collectées

  : les personnes doivent connaître le but de la collecte des données et jusqu'à quand leurs données seront enregistrées. Elles doivent aussi être alertées en cas de fuite ou transfert non prévu des données qui les concernent.

• Obtenir le consentement clair des personnes pour lesquelles les données sont collectées.

• Fournir aux personnes les moyens d'exercer leur droit de visualisation, rectification et suppression des données les concernant.

  Ainsi une personne physique doit pouvoir obtenir l'accès à ses données personnelles gratuitement et pouvoir rectifier ou supprimer les données le concernant. Il revient donc à l'employeur de s'assurer que les outils et logiciels qu'il utilise sont en conformité avec la règlementation.

• Tenir un registre des activités de traitement liés au RGPD.

  Il s'agit d'une des obligations majeures du RGPD. Ce registre est obligatoire car il servira de document de référence en cas de contrôle. Le but de ce document est de cartographier l'ensemble des traitements concernés par la règlementation. Pour plus d'informations sur le registre des traitements, veuillez cliquez ici.

• Nommer un DPO (Délégué à la protection des données)

  Le DPO est la personne en charge du respect des règles du RGPD; il peut être interne ou externe à l'entreprise. Cette mesure est une obligation uniquement si votre entreprise traite des données sensibles à grande échelle. Par donnée sensible, nous entendons les données de santé, race, orientation sexuelle, ...

Quels sont les risques ?
Les sanctions dépendent de la gravité des violations observées par la CNIL. Dans un premier temps, l'entreprise pourrait faire l'objet d'un avertissement ou d'une mise en demeure pour l'obliger à se finaliser sa mise en conformité. Dans d'autres cas plus sérieux, les traitements sur les données pourront être limités ou suspendus. Enfin, pour les entreprises qui, malgrè les mises en gardes préalables, ne se mettraient pas en conformité, la CNIL pourrait infliger les amendes suivantes :

• 2% du chiffre d’affaires mondial d’une entreprise ou 10 millions d’euros d’amende,

  : pour notamment défaut de tenue d’un registre des traitements, défaut d’étude d’impact sur la vie privée en cas de données sensibles (orientations sexuelles, politiques, informations médicales…), défaut d’annonce suite à une faille décelée, et problèmes de sécurité.

• 4% du chiffre d’affaires mondial d’une entreprise, ou 20 millions d’euros d’amende,

  : pour défaut de consentement, traitements de données illégaux, non-respect des droits des personnes.