L’entrée en vigueur du RGPD marque un tournant majeur dans la protection des données personnelles. Si la directive 95/46/CE ne livrait que des consignes à respecter, le nouveau règlement européen adopte une approche plus coercitive. Le texte soumet les établissements concernés à des obligations et il prévoit également des sanctions en cas d’infractions.
Les grandes lignes du RGPD
En vigueur depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) s’applique dans l’ensemble des pays membres de l’Union européenne. Il s’impose comme cadre légal unique pour toutes les opérations de collecte de données. Cette loi vise à protéger le patrimoine numérique des citoyens en leur accordant de nouveaux droits. Désormais, les particuliers peuvent exiger la suppression ou la récupération de leurs informations personnelles. De même, ils ont la possibilité de déposer plainte auprès des autorités compétentes.
Les établissements qui disposent d’un système informatique doivent se conformer à des normes des traitements. Les offreurs de services web ont l’obligation de demander le consentement des internautes avant toute opération de collecte. À cette occasion, aucune mention pré-cochée n’est autorisée.
Pour les grandes entreprises, le RGPD apporte aussi quelques changements dans la composition de l’équipe technique. Les sociétés qui traitent des données à grande échelle doivent également nommer un Data Protection Officer (DPO). Ce dernier s’assurera de la conformité des workflows. En outre, il prendra toutes les mesures nécessaires pour minimiser au maximum les risques de piratage. Ce professionnel représente l’établissement aux yeux des organismes de contrôle tels que la Commission Nationale de l’Informatique et des Libertés (CNIL).
Les sanctions encourues en cas de non-conformité au RGPD
Comme évoqué précédemment, le RGPD prévoit également des sanctions en cas de non-conformité. En France, la CNIL intervient dès que des manquements ont été constatés. Une inspection sera effectuée après l’envoi d’une lettre de mise en demeure. Aucun établissement n’échappe à cette procédure. Le ministère de l’Éducation nationale a par exemple été visé par un contrôle il y a quelques années.
Dans tous les cas, les agents de la CNIL peuvent exiger le paiement d’une amende sans qu’aucune décision de justice n’ait été prononcée. Cette entité est aussi habilitée à demander une cessation temporaire des activités.
Afin d’éviter ces sanctions, il convient de se mettre en conformité au RGPD le plus rapidement possible. L’essentiel des opérations consistera à répertorier les traitements de données. L’intervention d’un DPO sera nécessaire pour effectuer un tri de données. Sa participation permettra de créer un registre. Cet élément est indispensable pour respecter le principe d’accountability.
Pour mener à bien ce type de projet, il est vivement conseillé de solliciter des agences spécialisées. Cela permettra notamment d’avoir à sa disposition un DPO compétent. Celui-ci supervisera toutes les opérations pour prémunir l’entreprise contre d’éventuels litiges avec la CNIL.
Sommaire