Qui est concerné par le RGPD ?

A qui le RGPD s’applique ?

Le RGPD s’applique globalement à toutes les organisations :

• entreprises (TPE, PME, ETI, grande entreprise)
• administrations,
• associations
• personnes physiques dans le cadre d’une activité commerciale (ou non exclusivement personnelle et domestique)

Le critère d’application : les données personnelles

Le critère juridique d’application du règlement (inscrit dans l’article 2) est : est-ce que l’organisation traite des données personnelles :

Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Attention toutefois : la notion de donnée personnelle est spécifique dans le RGPD : est considéré comme donnée personnelle, toute donnée qui permet d’identifier une personne.

Ainsi dès lors qu’une organisation, quelle qu’elle soit, dispose d’un nom, d’un prénom ou d’une adresse email sur un de ses systèmes informatiques, le RGPD viendra s’appliquer.

Des exemples de traitement de données personnelles

De manière assez classique, les organisations vont disposer d’un certain nombre de traitements de données personnelles qui vont engendrer l’application du RGPD :

• en matière RH (recrutement, paye, base CV, gestion de la formation des personnels internes, téléphonie sur le lieu de travail),
• en matière commerciale (prospection commerciale, vente de ses biens et services, facturation, gestion de la comptabilité),
• en matière marketing (blog Wordpress, et organisations de petits-déjeuners pour la présentation de ses produits, ainsi que des enquêtes marketing)
• et juridique (gestion du contentieux).

En cela, la règlementation s’applique donc très largement à toutes les organisations en Europe, par exemple, dès lors:

• qu’elles ont des salariés
• que ces organisations ont des clients personnes physiques

L’objectif de la règlementation est de s’assurer que les données personnelles qui sont confiées aux organisations puissent être traitées sans trop de risques pour les personnes.

Quelles sont les sanctions en cas de non-respect ?

Le RGPD a été introduit en raison des très nombreux abus liés à la gestion des données clients / utilisateurs. La règlementation a imposé des amendes importantes, qui peuvent aller jusqu’à 4% du chiffre d’affaires global d’une entreprise - ou 20 millions d’euros pour les TPE ou les associations.

Voici des exemples de sanctions récentes :

• 3 millions d’euros d’amende pour Carrefour pour avoir mal informé les personnes des traitements de donnée personnelle effectués
• 9.000€ de sanctions pour deux médecins qui n’ont pas correctement protégé les données personnelles de leurs patients
• 100 millions d’euros d’amende pour Google en raison de la violation des règles en matière de cookies
• 35 millions d’euros d’amende pour H&M pour surveillance illégale d’employés
• 35 millions d’euros d’amende pour Amazon Europe pour violation des règles en matière de cookies
• 50 millions € d’amende à Google
• l’effacement de 16 millions de fiches prospects auprès d’une entreprise qui avait mal acquis le consentement des personnes auprès desquelles les données étaient collectées, puis une semaine après, l’effacement de +60 millions de fiches prospects auprès d’une autre
• des sanctions régulières pour violation des obligations de sécurité informatique et protection des données personnelles, 500.000 pour Futura Internationale, 150.000€ ici, 400.000€ par là, 30.000€ pour une association, 50.000€ pour une Dailymotion, 75.000€ pour une association, 250.000€…
• les TPE ne sont pas épargnées par les sanctions, 10.000€ pour avoir mis en place un dispositif biométrique, 20.000€ de sanctions pour avoir mis en place un système de vidéo surveillance, l’OPH de Renne écueillera de 30.000€ pour détournement de finalité

Quelles sont les obligations qui sont imposées et que faut-il faire en pratique ?

Le RGPD prévoit une diversité d’obligations qui sont liées essentiellement au fait d’opérer le traitement des données des personnes de sorte de ne pas créer de risques trop importants pour elles. L’idée générale est d’assurer un certain niveau de confiance quant au traitement des données qui est effectué par l’organisation en question.

À ce titre, le RGPD impose de créer un registre afin de recenser toutes les activités de traitement qui sont opérées au sein de l’organisation (on n’ajoute pas les données personnelles dans ce registre, mais simplement on indique que l’organisation dispose d’une newsletter par exemple).

Fort heureusement il est possible d’automatiser de nombreuses obligations en ayant recourt à un logiciel de gestion de la conformité RGPD.

Par exemple on peut créer un registre rapidement en important simplement les activités de traitement les plus courantes des entreprises (moins d’une minute en pratique), ce qui évite d’avoir à passer des heures à rédiger de la documentation obligatoire :

Voici un exemple de traitement prédocumenté :

Au-delà du registre, voici une série d’actions à mener pour assurer sa conformité RGPD:

• Minimiser les données personnelles collectées
• S’assurer du fondement juridique du traitement
• Éviter de traiter des données sensibles
• Afficher les mentions légales
• Respecter le droit à la portabilité des données
• Mettre en place un registre de conformité
• Assurer la sécurité des données personnelles
• Maintenez un registre de violations de données personnelles
• Nommer un DPO
• Mettre en place une PIA pour les traitements les plus sensibles
• Assurez-vous de ne pas transférer des données personnelles hors UE

Legiscope dispose de plusieurs formations (menu formation) qui permettent de démarrer rapidement et mettre en oeuvre des actions de conformité et c’est sans doute ce qu’il y a de plus pratique pour disposer d’une évaluation de ses risques et se concentrer sur les actions essentielles à mener ; au-delà de ces outils, vous pouvez également lire nos articles plus détaillés sur la question : RGPD 11 actions de conformité à mettre en oeuvre.