Qu'est ce qu'une donnée à caractère personnel ?
Les obligations du RGPD sont nombreuses. Nous vous présentons donc les exigences qu'une entreprise doit respecter afin d'être en conformité avec la réglementation.

• Informer de leurs droits, toutes les personnes physiques dont des données personnelles sont collectées

  : Les individus doivent connaître le but de la collecte des données et combien de temps leurs données seront stockées. Ils doivent également être alertés en cas de fuite ou de transfert non planifié de données qui les concernant.

• Obtenir le consentement explicite des personnes pour lesquelles des données sont collectées.

• Donner aux personnes les moyens d'exercer leur droit d'accès, de rectification et de suppression des données les concernant.

  Ainsi une personne physique doit pouvoir accéder gratuitement à ses données personnelles et pouvoir faire rectifier ou supprimer les données le concernant. Il appartient donc à l'employeur de s'assurer que les outils et logiciels qu'il utilise sont conformes à la règlementation.

• Tenir un registre des activités de traitement liés au RGPD.

  L'une des principales obligations du RGPD est de tenir un registre. Ce registre est obligatoire car il servira de document de référence en cas de contrôle. Ce document a pour objectif de cartographier l'ensemble des traitements concernés par la règlementation.

• Nommer un DPO (Délégué à la protection des données)

  Le Délégué à la Proteciton des Données (DPO) est la personne en charge du respect des règles du RGPD; il peut être interne ou externe à l'entreprise. Cette mesure est une obligation uniquement si votre entreprise traite des données sensibles à grande échelle. Par donnée sensible, nous entendons les données de santé, race, orientation sexuelle, etc.

Quels sont les risques ?
La CNIL peut imposer des sancitons aux entreprises en fonction de la gravité des infractions. Dans un premier temps, l'entreprise pourrait faire l'objet d'un avertissement ou d'une mise en demeure pour l'obliger à se finaliser sa mise en conformité avec le RGPD. Dans les cas plus graves, les traitements sur les données pourront être limités ou suspendus. Enfin, pour les entreprises qui, malgrè des avertissements préalables, ne se mettraient pas en conformité avec le RGPD, la CNIL pourrait infliger les amendes suivantes :

• 2% du chiffre d’affaires mondial d’une entreprise ou une amende de 10 millions d’euros,

  : pour notamment défaut de tenue d’un registre des traitements, défaut de réalisation d’une étude d’impact sur la vie privée en cas de données sensibles (orientations sexuelles, politiques, informations médicales…), absence d’annonce suite à une violation détectée et problèmes de sécurité.

• 4% du chiffre d’affaires mondial d’une entreprise, ou une amende de 20 millions d’euros,

  : pour défaut de consentement, traitement illicite de données, non-respect des droits des personnes.