Qui est concerné par le RGPD ?

Juil 22, 2022
5/5 - (24 votes)

Le Règlement Général sur la Protection des Données (RGPD) s’applique à tout organisme qui traite des données personnelles :

  1. que celui-ci soit établi sur le territoire de l’Union européenne ;
  2. ou que son activité cible directement des résidents européens.

Précisons que ce Règlement s’applique également aux associations et aux organismes publics.

Toutes les entreprises établies sur le territoire de l’Union européenne et qui stockent des données personnelles sont donc concernées. A noter que le stockage de données est aussi une forme de traitement. Le RGPD s’applique quelle que soit la taille de votre entreprise, que vos interlocuteurs soient des entreprises privées ou des organismes publics, en B2B, comme en B2C et quel que soit votre chiffre d’affaires annuel.

Il faut également savoir que le règlement s’applique aux sous-traitants de toute entreprise établie au sein de l’Union européenne, même si ces sous-traitants ne sont pas situés sur le territoire européen.

Par ailleurs, le Règlement s’applique pour le traitement de données de tout citoyen européen, indépendamment de sa nationalité. Même si les données sont stockées en dehors du territoire européen, toute activité ciblant un citoyen européen est soumise au RGPD.

Les modalités de mise en œuvre des principes du RGPD, et les obligations qu’il implique peuvent varier selon le profil des entreprises concernées. Pour ces raisons, il n’est pas facile pour ces structures, de se mettre en conformité avec le règlement général sur la protection des données. Or, la non-conformité les expose à des sanctions importantes.

Quelles sont les obligations RGPD ?

Le RGPD confère de nombreux droits aux citoyens de l’Union européenne. Les entreprises ont l’obligation de veiller au respect de ces droits à chaque étape de leur processus de traitement des données personnelles.

Garantir la sécurité et la confidentialité

La sécurité et l’amélioration des droits des utilisateurs sont les objectifs du RGPD les plus importants. En matière de protection, les entreprises doivent faire en sorte que de tierces personnes non autorisées n’accèdent pas aux informations de leurs clients. Les fichiers de conservation des données ne doivent pas être déformés ou endommagés. Les locaux, ainsi que les systèmes d’information, doivent alors être sécurisés. Il est impératif de prendre cette mesure dès la conception du produit qui nécessite la collecte de données sensibles.

Informer suffisamment les clients

Les consommateurs ont la possibilité d’exercer leur droit directement auprès du responsable de traitement. Ils doivent ainsi connaître le nom et l’adresse de celui-ci. L’entreprise a donc l’obligation de mettre ces informations à la disposition de ses clients. Elle peut le faire dans les mentions légales de son site, ainsi que dans les contrats de vente et de prestation.

En plus de l’identité du responsable de traitement, le client a le droit de connaître la finalité du traitement de ses données. L’entreprise a aussi l’obligation de renseigner ses consommateurs sur leurs droits d’accès, d’opposition, de rectification ou de suppression des données collectées. Il existe de nombreuses autres infirmations qu’il ne faut absolument pas omettre. Pour n’oublier aucun détail, les entreprises ont souvent besoin d’une expertise professionnelle comme celle que propose ONE GDPR.

Faire une analyse d’impact

Tout traitement de données présente un risque, même si, dans certains cas, il est minime. Les problématiques les plus importantes concernent les droits et les libertés des administrés. Les entreprises ont l’obligation d’évaluer l’origine, la nature et le niveau de gravité des dangers auxquels elles sont exposées.

Une analyse d’impact s’impose pour toute organisation qui collecte des données sensibles. C’est également le cas pour les structures qui font du profilage ou des études statistiques et médicales. Si les fichiers de collecte sont transférés en dehors de l’Union européenne, il faut aussi effectuer une analyse d’impact sur la vie privée.

Désigner un délégué à la protection des données

En fonction de leur activité, certaines entreprises ont l’obligation de désigner un délégué à la protection des données (DPO). C’est le cas pour toutes les structures qui mènent une activité en rapport avec le secteur public. Si une société fait le suivi régulier et systématique de ses administrés, elle doit aussi désigner un DPO. Cette règle est aussi valable pour toute entreprise qui procède à un traitement de données sensibles à grande échelle. Les informations relatives aux condamnations et aux infractions sont également concernées.

Tenir un registre des traitements de données

La tenue d’un registre de traitements des données ne s’impose pas aux entreprises qui comptent moins de 250 salariés. Ces dernières peuvent toutefois l’adopter pour améliorer la sécurité et la gestion des données dont elles s’occupent. Si ces sociétés traitent des informations de manière régulière, le registre devient un impératif. Quand une structure se charge de traitements qui comportent des risques pour les droits et la liberté des personnes, cela s’impose aussi à elle. Il en est de même pour les entreprises qui traitent des données sensibles. Quand le nombre de salariés dépasse les 250, tous les traitements doivent être enregistrés dans un registre.

Les sanctions en cas de non-conformité RGPD

La CNIL a prévu des sanctions contre les responsables de traitement et les sous-traitants qui se retrouveront en situation irrégulière. Des contrôles sont prévus à cet effet. Les administrés ont également la possibilité de déposer une plainte auprès de l’instance de contrôle quand une entreprise n’applique pas les principes du RGPD. Les sanctions prévues sont principalement des amendes qui peuvent atteindre 20 millions d’euros selon la gravité de la faute. Pour une petite entreprise, l’amende peut représenter 4 % du chiffre d’affaires annuel mondial. À part les amendes administratives, d’autres sanctions comme la limitation du traitement et la suspension du flux de données sont aussi prévues.

Comment se mettre en conformité RGPD ?

En raison des nombreuses règles qu’il faut respecter dans le processus de mise en conformité au RGPD, il est indispensable de se montrer méthodique dans la démarche. Il y a trois principales étapes à suivre pour réussir cet exercice.

Faire une cartographie des traitements

Le RGPD exige des entreprises de tenir une documentation interne qui recense leurs traitements de données à caractère personnel. Pour la mettre en œuvre, les organisations doivent faire une cartographie qui comportera :

  • les différents traitements qu’ils effectuent ;
  • la nature des données traitées ;
  • la finalité des traitements de données personnelles.

Il faut aussi ajouter l’identité des différents acteurs (internes ou externes) qui interviennent dans la manipulation des informations à caractère personnel. Enfin, il est recommandé de présenter l’origine et la destination des données en question.

Prendre en compte les droits des citoyens

De plus en plus de consommateurs font attention au respect de leurs droits et choisissent d’aller vers les entreprises qui leur garantissent cela. C’est un point sur lequel les organisations doivent mettre un accent particulier pour gagner la confiance de leurs consommateurs. Il faut alors communiquer suffisamment avec ces derniers en leur fournissant toutes les informations indispensables à la conformité au RGPD. Il faut ensuite mettre en œuvre des moyens offrant la possibilité aux clients d’exercer leurs droits. Ces mesures doivent être particulièrement accessibles et faciles à comprendre.

Sécuriser les données

Pour finir le processus de mise en conformité au RGPD, il faut sécuriser les données à caractère personnel et les informations sensibles. Trois principaux risques doivent ainsi être considérés. Le premier concerne l’accès illégitime à ces données. Le deuxième risque est relatif à l’altération ou à la modification non désirée des informations. Le dernier concerne la perte des fichiers de conservation ou des documents. Il existe de nombreuses mesures pouvant renforcer la sécurité du système d’information pour éviter ces dommages.

Il faut reconnaître que la mise en conformité au RGPD est une tâche fastidieuse qui nécessite également un grand niveau d’expertise. Pour ne laisser aucun détail de côté, et dans l’optique de mettre en place un système performant, les entreprises font appel à un expert. C’est un choix qui présente de nombreux avantages. Le responsable de traitement profite de l’expérience d’une équipe de professionnels et de nombreux autres services qui rendent sa tâche bien plus aisée.

ONE GDPR met son expertise à disposition des organisations et entreprises, pour leur offrir la possibilité de profiter d’une gamme complète de prestations RGPD.