Le Règlement Général de la Protection des Données, plus connu sous l’acronyme RGPD va être mis en place dès le 25 mai 2018. Cette nouvelle législation va encadrer la gestion, la récolte et le traitement des données personnelles et numériques dans l’Union Européenne. Le RGPD va permettre le renforcement de la protection des données personnelles de chaque individu et entreprise dans l’Union Européenne.
Désormais les sociétés devront exploiter les données personnelles de leurs clients, employés et fournisseurs dans les limites fixées par le cadre du RGPD. Le responsable de traitement des données n’aura plus à faire de demande d’autorisation à la CNIL (Commission Nationale de l’informatique et des libertés) pour constituer un ficher. A partir du 25 mai 2018, ce responsable de traitement devra démontrer que son entreprise a mis en place toute les mesures appropriées pour être conforme avec la loi européenne.
Le DPO, délégué à la protection des données
Le délégué à la protection des données n’est pas obligatoire à la mise en œuvre du RGPD. Le rôle de ce délégué est d’informer et de conseiller le responsable de traitement, d’être le référent à contacter pour toute personne souhaitant échanger sur ses données et être l’interlocuteur de la CNIL au sein de l’entreprise.
Le délégué est obligatoire :
- Dans les organismes publics
- Si les activés de base nécessitant un suivi régulier et systématique des personnes à grande échelle
- En cas de traitement de données sensibles comme celles qui se rattachent à l’origine raciale, aux opinions politiques, philosophiques ou religieuses, à la santé, etc
Le DPO (Data Protection Officer) a donc un rôle central, à l’origine de bien des embauches dans les grands groupes actuellement. En l’absence de DPO, et pour les entreprises de taille plus réduite, un conseil juridique auprès d’un avocat spécialisé pourra indiquer les éléments à corriger ou à mettre en place.
Des amendes mis en place en cas de non-respect du RGPD
Le RGPD va bien plus loin que l’ancien plafond d’amende, qui était fixé à 150 000€ : selon la catégorie de l’infraction, jusqu’à 20 millions d’euros d’amende ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu. De quoi faire réfléchir jusqu’aux GAFA !
Dommages et intérêts
Les personnes concernées par la violation d’une des disposition de le RGPD sont victimes du comportement des responsables de traitement et peuvent se retrouver avec un dommage moral et/ou matériel. La personne concernée peut choisir de porter plainte contre l’organisme qui est en faute, des dommages et intérêts devront alors être versés en cas de recours judiciaire, ces derniers seront considérés comme une sanctions supplémentaire aux amende administratives ou aux sanctions pénales dont l’organisme peut faire l’objet.
Le RGPD entraîne un profond changement de pratiques et de mentalités autour de la donnée personnelle. Afin de vous mettre aux normes et pour un audit de votre structure, n’hésitez pas à contacter notre cabinet.