Il ne reste plus que quelques jours avant l’entrée en vigueur du Règlement Général sur la Protection des Données. Cependant, seulement un établissement sur 10 a déjà entrepris les opérations de mise en conformité. Afin de ne pas avoir de mauvaises surprises, il convient de s’informer sur les dispositions du RGPD et se préparer aux éventuelles sanctions.
Quels sont les principaux points du RGPD ?
Le RGPD a été promulgué dans le but de renforcer le droit des personnes. Ce texte sert de base juridique à quelques droits fondamentaux comme la succession numérique ou encore le « droit à l’oubli » dont jouissent les mineurs. Les citoyens européens peuvent maintenant récupérer leurs fichiers détenus par n’importe quel établissement. Cela oblige les offreurs de services web à repenser leurs workflows pour faciliter le traitement des réclamations.
Le RGPD fixe également quelques règles que les entreprises doivent respecter. Demander le consentement de l’internaute avant toute collecte de données est désormais une obligation. Par ailleurs, il faut présenter aux particuliers toutes les conditions d’utilisation de la plateforme. Les mentions pré-cochées sont aujourd’hui interdites.
D’un point de vue technique, il s’agit aussi de sécuriser sa base de données et de procéder régulièrement à des contrôles de sécurité. Pour identifier rapidement les failles du système, la création d’un registre de traitement est incontournable. Celui-ci sera également indispensable pour respecter le principe d’accountability.
Ne pas se conformer au RGPD : quelles sont les sanctions ?
Comme évoqué précédemment, seulement 10% des établissements concernés ont achevé les opérations de mise en conformité. Les sociétés restantes s’exposent à de lourdes sanctions.
Il faut savoir que le RGPD est un texte bien plus coercitif de la loi Informatique et Libertés. Les parlementaires européens ont mis en place certains dispositifs juridiques afin de sanctionner les entités récalcitrantes.
Le nouveau règlement octroie un pouvoir discrétionnaire assez étendu à la Commission Nationale de de l’Informatique et Libertés (CNIL). Cette institution est habilitée à procéder à des inspections inopinées. Bien entendu, une telle action ne peut être enclenchée qu’en cas de manquements manifestes aux dispositions du RGPD. Si des négligences sont constatées, l’entreprise devra payer une amende qui peut atteindre 3 millions d’euros. Ses activités seront également interrompues en attendant la réalisation d’un audit informatique et libertés.
Afin d’éviter ce genre de désagréments, il vaut mieux mettre tout en œuvre pour se conformer au RGPD dès à présent. Pour ce faire, les intéressés doivent recruter un Data Protection Officer (DPO). Ce dernier va contrôler les applications informatiques et identifier les failles de sécurité. Il participera aussi à la création d’un registre de traitement.
