Quelles sont les obligations RGPD pour les entreprises ?

1- Mise en œuvre de mesures de sécurité et de confidentialité

Les responsables du traitement des données d’une entreprise doivent s’assurer de la mise en place de mesures de sécurité et de confidentialité pour les données à caractère personnel qu’elles traitent.

L’objectif est de protéger les données face aux risques de déformation, d’endommagement ou de fuite. Cela passe par différents types actions :

• Limiter la quantité de données traitées à celles uniquement utiles pour le fonctionnement de l’entreprise. C’est ce qu’on appelle le principe de minimisation
• Limiter les accès aux données aux personnes disposant d’une autorisation spéciale
• Respecter le principe de durée de conservation des données à caractère personnel
• Mettre en place des procédures techniques de cybersécurité telles que le cryptage de données

2- Consentement à la collecte des données sauf si …

Point fondamental du RGPD, la demande de consentement au moment de la collecte des données doit se faire de manière claire et explicite. Elle est obligatoire sauf si cette collecte est nécessaire pour respecter une obligation légale (exemple relation employeur/salarié), pour respecter la sauvegarde des intérêts vitaux de la personne, pour mener à bien une mission d’intérêt public ou une mission menée par une autorité publique.

Au-delà de ces exceptions, sans accord préalable vous ne pourrez procéder à cette collecte.

Ce principe de consentement s’étend notamment sur le web lorsque les sites utilisent des cookies supplémentaires, “non essentiels” à leur fonctionnement. Les internautes doivent trouver la possibilité d’accepter ou de refuser l’installation des cookies lors de leur navigation.

3- Obligation d’information et droits des personnes

La collecte des données implique également l’obligation pour les entreprises d’informer les personnes concernées quant à, par exemples :

• L’identité du responsable du fichier de traitement des données au sein de votre entreprise
• La finalité du traitement. C’est-à-dire pourquoi et dans quel but les données ont été collectées
• La durée de conservation des données à caractère personnel

En parallèle, le RGPD dispense différents droits aux personnes dont les données ont été collectées :

• Droit d’accès : en tant qu’entreprise vous devez permettre à vos clients/salariés de connaître les informations que vous disposez sur eux.
• Droit à l’oubli : ces personnes peuvent également vous demander de supprimer ces informations dans leur totalité ou en partie sous conditions.
• Droit de rectification : des informations considérées comme erronées, leur donne le droit de vous demander de les corriger
• Droit à la limitation des traitements qui consiste à geler l’utilisation des données temporairement si elles sont considérées comme non conforme ou en cas de litige.
• Droit à la portabilité permet à ces personnes de demander la répétition de leurs données auprès de votre entreprise afin de les transmettre à un tiers.

4- Registre de traitement des données

Le registre de traitement des données correspond à un inventaire des données traitées au sein de votre entreprise. Il permet de conduire la mise en conformité RGPD et doit être régulièrement mis à jour.

Il recense notamment :

• la finalité du traitement
• les bases légales
• les types de données collectées
• la durée de conservation
• les personnes ayant accès aux données et à quelle échelle
• etc.

Le registre de traitement des données est obligatoire pour toute organisation traitant des données de manière non occasionnelle sur le territoire de l’espace économique européen.

5- Nommer un DPO

Certaines entreprises ont l’obligation de désigner un délégué de la protection des données ou Data Protection Officer (DPO) en anglais. Il s’agit notamment :

• des autorités et organismes publics
• des organismes qui traitent des données à caractère personnel à grande échelle de manière régulière. Exemple :  ciblage webmarketing, utilisation des cookies et d’outils de tracking, compagnies d’assurance, opérateurs téléphoniques etc.
• des organismes qui traitent des données sensibles à grande échelle : Exemple : données liées à la religion, à la race, à l’ethnie, à l’appartenance politique et/ou syndicale, à une condamnation pénale, etc.

Ces missions, définies dans les articles 38 et 39 du Règlement Général sur la Protection des données, consistent à assurer la conformité RGPD de l’entreprise et à sensibiliser, conseiller les salariés et collaborateurs dans leurs activités quotidiennes.

Information : la CNIL laisse le choix aux entreprises de nommer le DPO de manière interne, ou de faire appel à un DPO externe.

Besoin de vous faire accompagner pour votre audit RGPD ?
Pour votre mise en conformité ?
Contactez AP3R, votre consultant RGPD à Angers et sa région !