Il est très commun pour un responsable de traitement au sens du RGPD, de faire appel à des sous-traitants dans la collecte ou la gestion de données personnelles.

Le RGPD a proposé une nouvelle approche dans la protection des données personnelles en introduisant deux notions nouvelles qui sont particulièrement intéressantes : privacy by design" et le “privacy by default” ; en Français : la protection des données “dès la conception” et “par défaut”.

Le RGPD impose une série d’obligations précises au moment de la collecte de données personnelles. Nous verrons en particulier deux éléments essentiels à respecter qui sont l’affichage des mentions légales à l’utilisateur et la minimisation des données. Le non-respect de ces obligations à déjà donné lieu à de nombreuses sanctions et amendes. Elles sont vues comme essentielles par la CNIL.

L’article 6 du RGPD est une des dispositions essentielle car il fixe la nécessité de disposer d’une base légale. En effet, il ne peut être autorisé de collecter des données personnelles qu’à la condition d’être dans l’un des 6 cas qui sont énumérés par la loi. Voyons donc en détail l’article 6 avant d’expliciter la base légale, et surtout, comment choisir la bonne, sous peine de sanctions.

Le RGPD est la nouvelle règlementation qui régit la collecte et le traitement de données personnelles. Dès lors qu’une organisation collecte des données qui permettent d’identifier directement ou indirectement une personne (nom, prénom, email…) cette organisation est alors tenue de respecter les obligations imposées par le RGPD.

Déterminer le responsable de traitement au titre du RGPD est une étape essentielle car elle permet de déterminer qui va porter la responsabilité juridique - c’est-à-dire payer les amendes - en cas de non-conformité.

Le DPO - Data Privacy Officer - ou le “Délégué à la Protection des Données” (DPD) en Français, est la personne en charge d’assurer la protection des données personnelles au regard du RGPD. Sa mission est définie précisément par les articles 37 et suivants du RGPD (II) et celui-ci doit être nommé obligatoirement dans un certain nombre de cas (I). Le DPO peut être interne à l’organisation ou externe, mais dans tous les cas il doit disposer des compétences et des moyens pour poivoir mener à bien ses missions.

Les sanctions ont été un point essentiel dans la réforme du RGPD : en cas de non respect, les entreprises risquent aujourd’hui des sanctions qui vont de 20 millions d’euros pour les PME et jusqu’à 4% du chiffre d’affaires global du groupe pour les grandes entreprises (plusieurs milliards d’euros en pratique).

La grande nouveauté du RGPD a été la mise en place de sanctions réellement dissuasives (4% du chiffre d’affaires global pour les grandes entreprises ou 20 millions pour les TPE/PME). De la sorte, le législateur a donné les moyens aux CNILs européennes de faire plier les organisations qui ne respecteraient pas le RGPD. On peut dire que l’objectif est atteint, car il y a aujourd’hui environ une sanction par jour pour violation du RGPD en Europe. Des sanctions dissuasives sont régulièrement prononcées (35 millions d’euros, 203 millions, 110 millions, 100 millions pour Google très récemment…). Quelques chiffres au passage, sur les trois derniers mois : 99 sanctions, 110 millions d’euros d’amende, 40% d’amendes en plus par rapport à l’année dernière.