RGPD : Toutes les obligations essentielles pour les entreprises

Se mettre en conformité avec le Règlement Général sur la Protection des Données (RGPD) représente un enjeu majeur pour les entreprises. Ce texte européen impose en effet de nombreuses obligations en matière de collecte, traitement et sécurisation des données personnelles. Cet article détaille l’ensemble des mesures incontournables à mettre en place.

Obtenir un consentement éclairé et explicite

L’une des principales obligations du RGPD concerne le recueil du consentement des personnes avant toute collecte de leurs données à caractère personnel. Ce consentement doit être libre, spécifique, éclairé et univoque, comme le précise l’article 7 du règlement. Concrètement, cela signifie que les entreprises doivent fournir une information claire, compréhensible par tous, sur l’utilisation prévue des données. Le consentement ne peut plus être déduit du silence ou d’une case pré-cochée. Il doit résulter d’un acte positif clair comme cocher une case.

De plus, les personnes doivent pouvoir le retirer aussi facilement qu’elles l’ont donné. Cette obligation de consentement explicite s’applique à tous les traitements, sauf quelques exceptions comme l’exécution d’un contrat ou le respect d’une obligation légale.

Garantir les droits des personnes

Outre le renforcement du consentement, le RGPD consacre et renforce un ensemble de droits pour les personnes concernées par un traitement de données :

• Le droit d’accès : les entreprises doivent pouvoir communiquer à toute personne l’intégralité des données les concernant, dans un format accessible.
• Le droit de rectification : les personnes peuvent exiger la rectification de données inexactes les concernant.
• Le droit à l’effacement ou « droit à l’oubli » : les personnes peuvent demander l’effacement de leurs données dans certains cas.
• Le droit à la limitation du traitement : les personnes peuvent obtenir la limitation du traitement de leurs données.
• Le droit à la portabilité : les personnes peuvent récupérer leurs données dans un format réutilisable pour les transmettre à un autre organisme.

Les entreprises doivent donc mettre en place les processus et outils permettant de répondre facilement à ces différentes demandes des personnes.

Assurer la sécurité et la protection des données

Une des obligations majeures du RGPD est d’assurer un niveau de sécurité et de protection optimal des données personnelles traitées. L’article 32 liste les mesures techniques et organisationnelles appropriées à mettre en œuvre, comme :

• La pseudonymisation et le chiffrement des données
• La capacité de garantir la confidentialité, l’intégrité et la résilience des traitements
• La mise en place de procédures de test, d’analyse et d’évaluation régulières de la sécurité
• La mise en place de moyens permettant la réversibilité et la récupération rapide des données

Les entreprises doivent documenter ces mesures de sécurité dans un registre des traitements, qui fait lui-même partie des obligations du RGPD.

Tenir un registre des activités de traitement

Toutes les entreprises, quelle que soit leur taille, ont l’obligation de tenir un registre recensant l’ensemble des traitements de données personnelles qu’elles mettent en œuvre.

Ce registre doit contenir des informations très précises sur chaque traitement comme ses finalités, une description des données traitées, les durées de conservation, une analyse d’impact sur la protection des données le cas échéant, etc.
Ce registre doit être documenté, tenu à jour en permanence et pouvoir être présenté aux autorités de contrôle comme la CNIL en cas de contrôle. Il constitue la preuve de la mise en conformité de l’entreprise.

Désigner un délégué à la protection des données

Dans certains cas précis, les entreprises ont l’obligation de désigner un délégué à la protection des données (DPD ou DPO pour Data Protection Officer). C’est le cas notamment :

• Pour les autorités publiques ou organismes publics
• Pour les entreprises dont l’activité principale consiste en des traitements de données sensibles ou le suivi régulier et systématique des personnes
• Pour les entreprises de plus de 250 salariés

Le DPO a un rôle central de conseil, d’information, de contrôle du respect du RGPD et de coopération avec les autorités de contrôle. C’est un acteur clé de la gouvernance des données au sein de l’entreprise.

Réaliser des analyses d’impact sur la protection des données

Avant la mise en œuvre de tout nouveau traitement de données « susceptible d’engendrer un risque élevé pour les droits et libertés » des personnes, le RGPD impose aux entreprises de réaliser une analyse d’impact sur la protection des données (AIPD).Cette analyse doit permettre d’identifier, d’évaluer et de gérer les risques potentiels du traitement envisagé. Elle doit être documentée et conservée au registre des activités de traitement. Dans certains cas, elle doit être soumise à l’avis préalable de l’autorité de contrôle.

Notifier les violations de données dans les meilleurs délais

En cas de violation de données à caractère personnel (perte, vol, accès ou traitement non autorisé), le RGPD impose aux entreprises d’en notifier l’incident à l’autorité de contrôle compétente dans un délai maximum de 72 heures après en avoir eu connaissance.

Une notification aux personnes concernées est également requise lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Ces obligations multiples et détaillées du RGPD peuvent sembler complexes à mettre en œuvre pour les entreprises. Mais elles sont essentielles pour garantir un niveau élevé de protection des données personnelles et la confiance des citoyens et clients.

Sachez que nous mettons systématiquement en place toutes les obligations nécessaires lors de la création d’un site web ou d’une campagne d’e-mailing.

Dans un prochain article, nous aborderons les risques juridiques et financiers encourus en cas de manquement à ces obligations.

RGPD : un régime de sanctions dissuasif pour garantir la protection des données

Si vous souhaitez recevoir une alerte pour nos prochains articles, suivez-nous.