État des lieux
Le RGPD
En bref
Entré en application en 2018, le Règlement Général sur la Protection des Données (RGPD) est la norme légale la plus stricte au monde en matière de protection de la vie privée et de sécurité.
Le règlement impose des obligations à toutes les organisations (publiques ou privées) qui ciblent ou collectent des données liées à des personnes dans l’UE.
La sanction maximale en cas d’infraction est de 20 millions d’euros ou 4% du chiffre d’affaires mondial (le montant le plus élevé). En France, ces sanctions sont imposées par la Commission Nationale de l’Informatique et des Libertés (CNIL).
Le pilotage de votre conformité par un DPO
Ai-je besoin d’un DPO ?
Qu’est-ce qu’un DPO ?
DPO est l’accronyme de Data Protection Officer ; on parle aussi de DPD Délégué à la Protection des Données, en français.
Le DPO est désigné par une organisation (entreprise, association ou organisme public) afin veiller à la conformité des traitements de données personnelles de l’organisation en question.
Le DPO peut être un salarié de l’entreprise (DPO interne) ou un professionnel spécialisé dans la protection des données (DPO externe/externalisé). Le fait de travailler avec un DPO externe vous permet d’assurer son impartialité et sa compétence.
Que fait le DPO ?
En un mot, le DPO a pour mission générale de veiller au respect des règlementations en matière de protection des données au sein de l’organisation.
Dans ce cadre, il conseille et informe le responsable de traitement. Il participe aussi à la réalisation d’audits internes et d’études d’impact, et effectue de la sensibilisation en sein de l’organisation.
Enfin, il est le point de contact en ce qui concerne la protection des données personnelles.
Certaines entités doivent obligatoirement nommer un DPO
| Les autorités et les organismes publics | Les entreprises qui collectent régulièrement et systématiquement des données sur un grand nombre de personnes | Les entreprises qui gèrent à grande échelle des données sensibles* |
| C’est le cas des différents services et administrations (Mairie, Département, Police, etc.) | Sont notamment visées les sociétés de transport en commun, les compagnies d’assurances, les agences immobilières, etc. | Cela concerne les hôpitaux, maisons de santé, les EHPAD, certains regroupement de médecins, etc. |
*En savoir plus sur les données sensibles.
Si vous lisez ceci, le RGPD vous concerne très probablement
Le RGPD s’applique à tout le monde (ou presque)
Même si vous n’êtes pas dans l’obligation de nommer un DPO, vous avez des obligations en lien avec le RGPD
Le RGPD s’applique, peu importe que vous soyez légalement obligé de désigner un DPO ou non. Cela signifie que vous avez certaines obligations variables selon votre activité.
Il existe notamment des obligations en matière de documentation à tenir (registre de traitement par exemple), et des procédures à mettre en place (notamment pour répondre aux demandes d’accès dans le temps imparti par le RGPD).
La démarche de solliciter un expert des données personnelles est un gage de bonne foi. En garantissant le respect des droits de vos clients et partenaires, vous évitez les sanctions coûteuses de la CNIL et les mauvaises surprises. De plus, vous valorisez l’image de votre entreprise / établissement.
Nous proposons un accompagnement en tant que DPO externe ainsi que différentes solutions personnalisées pour vos besoins spécifiques.
Vous vous reconnaissez dans l’une de ces 8 phrases ? Vous avez certainement besoin de faire le point.
- « J’ai installé un système de vidéo surveillance au sein de mon établissement » ou « je compte en installer un » sans faire d’audit RGPD.
- « Je reçois parfois (ou souvent) des documents d’identité de clients par e-mail »
- « Je ne sais pas quoi faire en cas de fuite de données ou de piratage de mon PC »
- « J’ai moins de 50 employés, je ne suis pas concerné par le RGPD »
- « Je ne sais pas combien de temps je peux conserver les fichiers de mes anciens mes anciens clients / prospects »
- « Je n’ai pas besoin d’un DPO, car je ne traite pas de données sensible avec mon activité »
- « Je n’ai jamais entendu parler du RGPD et je n’ai jamais eu de soucis donc tout va bien »
Comme vous l’aurez compris, un accompagnement (ponctuel ou récurrent) est crutial pour de nombreuses entreprises.
La CNIL (autorité de contrôle en France) et le Comité européen de la protection des données (organe européen qui veille à l’application cohérente du RGPD au sein de l’UE), recommandent vivement de faire appel à un professionnel, même lorsque la désignation d’un DPO n’est pas obligatoire.
Des difficultés dans votre mise en conformité ? Besoin de clarifications ?
Parlons-en
