Le RGPD a proposé une nouvelle approche dans la protection des données personnelles en introduisant deux notions nouvelles qui sont particulièrement intéressantes : le “privacy by design” et le “privacy by default” ; en Français : la protection des données “dès la conception” et “par défaut”.

Le RGPD impose une série d’obligations précises au moment de la collecte de données personnelles. Nous verrons en particulier deux éléments essentiels à respecter qui sont l’affichage des mentions légales à l’utilisateur et la minimisation des données. Le non-respect de ces obligations à déjà donné lieu à de nombreuses sanctions et amendes. Elles sont vues comme essentielles par la CNIL.

L’article 6 du RGPD est une des dispositions essentielle car il fixe la nécessité de disposer d’une base légale. En effet, il ne peut être autorisé de collecter des données personnelles qu’à la condition d’être dans l’un des 6 cas qui sont énumérés par la loi. Voyons donc en détail l’article 6 avant d’expliciter la base légale, et surtout, comment choisir la bonne, sous peine de sanctions.

Les mentions légales pour un site Internet sont vraiment simple à mettre en place, mais je constate trop souvent de erreurs, c’est pourquoi je vous ai fabriqué un générateur automatique de mentions légales gratuit !

Le RGPD est la nouvelle règlementation qui régit la collecte et le traitement de données personnelles. Dès lors qu’une organisation collecte des données qui permettent d’identifier directement ou indirectement une personne (nom, prénom, email…) cette organisation est alors tenue de respecter les obligations imposées par le RGPD.

Déterminer le responsable de traitement au titre du RGPD est une étape essentielle car elle permet de déterminer qui va porter la responsabilité juridique - c’est-à-dire payer les amendes - en cas de non-conformité.

Assurer la conformité RGPD d’un site web est une étape essentielle, car le site web est une vitrine de l’organisation. En général en cas de plainte, la CNIL mène en premier lieu un contrôle à distance afin de vérifier la conformité RGPD du site, ce qui donne une bonne visibilité sur la conformité globale de l’organisation : un site mal géré côté RGPD indique immédiatement que l’organisation n’a rien fait de ce côté, ce qui risque de déclencher un contrôle sur place et des sanctions (20 millions - 4% du CA global du groupe).

Le DPO - Data Privacy Officer - ou le “Délégué à la Protection des Données” (DPD) en Français, est la personne en charge d’assurer la protection des données personnelles au regard du RGPD. Sa mission est définie précisément par les articles 37 et suivants du RGPD (II) et celui-ci doit être nommé obligatoirement dans un certain nombre de cas (I). Le DPO peut être interne à l’organisation ou externe, mais dans tous les cas il doit disposer des compétences et des moyens pour poivoir mener à bien ses missions.

Les sanctions ont été un point essentiel dans la réforme du RGPD : en cas de non respect, les entreprises risquent aujourd’hui des sanctions qui vont de 20 millions d’euros pour les PME et jusqu’à 4% du chiffre d’affaires global du groupe pour les grandes entreprises (plusieurs milliards d’euros en pratique).