Le RGPD… bientôt 1 an. Où en êtes-vous ?

La CNIL nous rappelle que tout organisme est amené à traiter des données personnelles pour assurer la gestion de ses activités. Ce traitement d’informations est désormais encadré afin de permettre aux usagers de mieux contrôler l’utilisation de leurs données.

Par usager, il faut entendre les salariés, les prospects, les clients, soit toute personne susceptible de transmettre à l’entreprise des données qui lui sont propres.

• Votre structure utilise des informations comme le nom, le prénom, l’email pour envoyer des newsletters ?

Vous utilisez des données personnelles.

• Votre société compile les informations de vos salariés via les ressources humaines ?

Vous devez sécuriser l’accès à ces données personnelles.

• En tant qu’assureur de personnes, vous proposez des devis relatifs à la prévoyance, la mutuelle etc… ?

Vous avez accès à des données dites ‘’sensibles’’ et devez les sécuriser auprès des organismes tiers qui vous aident à élaborer ces devis.

• Vous proposez des solutions de simulation de crédit en ligne pour les achats immobiliers ?

Le revenu, qualifié de donnée ‘’sensible’’, est un élément clé de cette simulation.

Les données sont donc soit ‘’personnelles’’, soit ‘’sensibles’’. Ces dernières sont considérées  comme étant particulièrement à risques : leur liste est définie et leur régime juridique de protection est renforcé.

• Données à caractère personnel : adresse, factures, fichiers clients, identifiant en ligne, localisation, nom, revenus
• Données sensibles : opinions politiques, orientation sexuelle, race, religion, santé, pour les enfants de moins de 16 ans, consentement parental obligatoire.

La CNIL est chargée de faire respecter cette directive en France et donc de sanctionner les manquements ou violations du RGPD.

La difficulté de la mise en conformité avec le RGPD est double :

• Il s’agit d’une mise en conformité dynamique et non plus à un instant T.
• Le RGPD met en place une logique de responsabilisation de l’ensemble des acteurs, le sous-traitant ET le responsable de traitement.

A l’issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL peut prononcer des sanctions.

Le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.

Ces sanctions peuvent être rendues publiques. (lire un exemple)

Vous l’aurez compris, les entreprises doivent désormais intégrer la relation de confiance avec leurs clients et fournisseurs, dans leurs critères de compétitivité.

Etes-vous concerné par le RGPD ? Votre organisation n’est toujours pas conforme ?

SH dispose d’experts capables de vous aider dans ce labyrinthe d’actions à mener, rapidement :

• Cartographier le traitement des données personnelles
• Prioriser les actions
• Mesurer les risques
• Organiser les processus internes
• Documenter la conformité
• Désigner votre DPO (Data protection Officer), ou Délégué à la Protection des Données.

Les Pôles Ressources Humaines et Transformation Digitale sont à votre écoute pour vous accompagner sur le chemin de cette mise en conformité.