RGPD | PROLEGIS - Santé et sécurité au travail législation

Prolegis réglementation législation Vaucluse RGPD

Le règlement européen sur la protection des données ou RGPD est une directive européenne qui oblige toutes les entreprises et les administrations, à respecter certaines règles concernant le traitement des données à caractère personnel. Il est applicable depuis le 25 mai 2018.

RGPD – Règlement Européen sur la Protection des Données

Le RGPD – Qu’est ce que c’est ?

Toutes les entreprises ou organismes qui gèrent des traitements de données à caractère personnel sont dans l’obligation d’être en conformité avec le RGPD.

La particularité de ce règlement est qu’il concerne toutes les entreprises qui effectuent des traitements sur des données à caractère personnel de citoyens européens et pas seulement en France ou en Europe. Aucun des pays transmettant des données personnelles de citoyens européens ne peut y déroger. Il est directement applicable et sera appliqué de manière uniforme dans tous les pays du monde.

La finalité d’un tel règlement et de protéger les citoyens européens contre les utilisations malveillantes de leurs données à caractère personnel.

Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable » (informatisée ou papier).

Une personne peut être identifiée :

Directement (exemple : nom, prénom)
Indirectement (exemple : un numéro de téléphone)

L’identification d’une personne physique peut être réalisée :

A partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN)
A partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association).

Les 6 étapes de la mise en conformité

rgpd-mise en conformite france eternalisation entreprise

1 - Désigner un pilote

2 - Cartographier les traitements de données personnelles

Pour mesurer concrètement l’impact du règlement européen sur la protection des données de l’activité, il faut commencer par recenser de façon précise les traitements de données personnelles mis en œuvre.

La tenue d’un registre des traitements permet de faire le point sans oublier les données traitées par des sous-traitants.

3 - Prioriser les actions

Sur la base du registre des traitements de données personnelles, il conviendra d’identifier les actions à mener pour se conformer aux obligations actuelles et à venir et donc prioriser ces actions au regard des risques que font peser les traitements sur les droits et les libertés des personnes concernées.

4 - Gérer les risques

Si des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées ont été identifiés, il doit être mené, pour chacun de ces traitements, une étude d’impact sur la protection des données.

5 - Organiser les processus internes

Pour garantir un haut niveau de protection des données personnelles en permanence, il faut mettre en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement de données personnelles (par exemple : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire etc.).

6 - Documenter la conformité

Pour prouver la conformité au règlement, il est indispensable de constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Des sanctions lourdes

cnil-rgpd-vaucluse protection des données

En matière de sanctions, la CNIL dispose d’un large choix de mesures allant du simple avertissement aux sanctions administratives et/ou financières et pénales.

Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design, Privacy By Default, en matière de PIA, etc.
Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).

Dans chacun des cas, le montant le plus élevé est celui pris en compte.

Mais aussi des sanctions administratives. En effet, l’article 58 dispose que chaque autorité nationale de contrôle possède le pouvoir de :

Prononcer un avertissement
Mettre en demeure l’entreprise
Limiter temporairement ou définitivement un traitement
Suspendre les flux de données
Ordonner et de satisfaire aux demandes d’exercice des droits des personnes
Ordonner la rectification, la limitation ou l’effacement des données.

Et enfin des sanctions pénales (articles 226-16 à 226-24 du Code pénal) :

Infraction	Texte	Peines
Non-respect des formalités préalables	Articles 226-16 et 226-16-A du Code pénal	300.000 € d’amende et 5 ans d’emprisonnement
Non-respect de l’article 34 de la loi Informatique et Libertés relatif à l’obligation de sécurité	Articles 226-17 et 226-17-1 du Code pénal	300.000 € d’amende et 5 ans d’emprisonnement
Détournement de la finalité des données personnelles	Article 226-21 du Code pénal	300.000 € d’amende et 5 ans d’emprisonnement
Procéder à un transfert de données transfrontières contrevenant aux mesures prises par la Commission des Communautés européennes ou à l’article 70 de la loi Informatique et Libertés	Article 226-22-1 du Code pénal	300.000 € d’amende et 5 ans d’emprisonnement
Absence d’information des personnes concernées	Article R. 625-10 du Code pénal	1.500 € d’amende par infraction constatée
Non-respect des droits des personnes	Article R. 625-11 du Code pénal	1.500 € d’amende par infraction constatée

Mettez en conformité votre RGPD

Notre équipe de professionnel est disponible afin de mettre à jour votre règlement européen sur la protection des données dans le Vaucluse, Bouches du Rhône ainsi que le Var, la Drôme ou le Gard. Mais aussi l’Isère, Rhône Alpes et la France entière.

Chef d’entreprise, désormais prenez rendez-vous avec Prolegis pour être en règle dans votre société ou votre organisme. Enfin nous sommes à votre disposition pour la réalisation d’un audit.
Nous intervenons également sur l’évaluation des risques professionnels de votre entreprise et la rédaction du document unique, ou encore du protocole de sécurité, des fiches de poste… Mais également en matière de ressources humaines pour vous apporter un conseil de tous les instants et vous assister dans la rédaction du règle-ment intérieur, des conditions générales de vente ou encore le déclenchement des élections des instances représentatives…

Prenons rendez-vous !