Le règlement général sur la protection des données : principes généraux :

Le RGPD ou Règlement Général sur la Protection des Données mis en application depuis le 25 mai dernier entraîne la nécessité de la mise en conformité des lois nationales existantes sur le sujet ainsi que les obligations des entreprises ou tout autre entité traitant des données personnelles. Le Cabinet Cazes-Goddyn à Montpellier vous explique les grandes lignes :

Qu'est ce que le RGPD ? Définition et évolution du droit européen

Le RGPD ou Règlement Général sur la protection des données est un texte de loi voté en 2016 et entré en application depuis le 25 mai dernier (2018). Ce texte définit le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, mettant fin à la directive existante datant de 1995 (de fait très obsolète par rapport à l'explosion du numérique et des nouveaux usages qui l'accompagne). A travers ce texte il s’agit également d’harmoniser le panorama juridique européen en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique parmi l’ensemble des États membres.

Adaptation en droit français de la CNIL

Bien que d'application directe dans tous les pays membres, le RGPD a également entraîné la nécessité d'adaptation des textes existant dans le droit national pour prendre en compte cette nouvelle réglementation. C'est le cas par exemple de la loi "Informatique et Libertés" qui a été réformée (loi 2018-493) une première fois déjà en juin 2018. C'est le début d'une série de modifications nécessaire à la réécriture de l'ensemble de la loi. Afin de poursuivre cette mise en conformité du droit français avec le RGPD, le gouvernement a adopté le 1er Août 2018 un premier décret d'application. Une ordonnance devrait venir compléter, d’ici la fin de l’année 2018, le dispositif d’intégration du RGPD dans le droit français.

Obligations concernant les organismes (source CNIL) et démarches à suivre

Tous les organismes traitant des données personnelles voient leurs responsabilité renforcée et doivent "assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité."

• DÉSIGNER UN PILOTE : afin de "piloter" la gouvernance des données personnelles de votre entreprise ou de votre structure, vous devrez mettre en place un responsable des données personnelles qui exercera une mission d'information, de conseil et de contrôle en interne.

• CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES : élaborez un registre des traitements de données personnelles.

• PRIORISER LES ACTIONS À MENER : Identifier les actions à mener pour vous mettre en conformité aux obligations actuelles et priorisez les au regard des risques sur les droits et les libertés des personnes.

• GÉRER LES RISQUES : Menez une analyse d'impact relative à la protection des données (AIPD) pour les traitements de données personnelles "susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes."

• ORGANISER LES PROCESSUS INTERNES : Mettez en place des processus internes garantissant la prise en compte de la protection des données et l'ensemble des événements qui peuvent survenir au cours de la vie d'un traitement (ex : faille de sécurité, gestion des demandes de rectification...)

• DOCUMENTER LA CONFORMITÉ : Afin de prouver votre conformité au règlement vous devrez constituer une documentation et l'actualiser continuellement.

Quelles sanctions en cas de non respect du RGPD ?

Deux types de sanctions sont prévus en cas de non respect du RGPD par les organismes privés ou publics. Les montants des sanctions sont extrêmement élevés et revêtent un rôle avant tout dissuasif.
C'est la CNIL qui est l'autorité chargée de veiller au respect et à l'application du RGPD.

• Les amendes administratives : La CNIL peut imposer des sanctions administratives de deux niveaux en fonction de la durée, de la nature et de la gravité de l'infraction :  
  • Niveau 1 : amende d’un montant de 2% du chiffre d’affaires mondial pour les entreprises ou 10 millions d’euros d’amende
  • Niveau 2 : amende qui correspond à 4 % du chiffre d’affaires mondial s’agissant des entreprises ou 20 millions d’euros d’amende

• Les sanctions pénales : Les Etats membres peuvent également compléter le RGPD en mettant en place des sanctions supplémentaires qui ne font pas l'objet d'amendes administratives. En France ce sont les articles 226-16 à 226-24 du Code pénal qui prévoient des sanctions pénales peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.

 

En savoir plus sur le RGPD

Vous souhaitez en savoir plus ou bénéficier de conseils concernant la mise en conformité de votre organisation au RGPD ? Le Cabinet Cazes-Goddyn à Montpellier répond à vos questions.