Qui est concerné par le RGPD ?

Le RGPD, autrement dit, “le règlement européen en matière de protection des données personnelles” est la nouvelle règlementation européenne qui a pour objectif d’assurer la protection des données des personnes sur informatique.

A qui le RGPD s’applique ?

Le RGPD s’applique globalement à toutes les organisations :

  • entreprises (TPE, PME, ETI, grande entreprise)
  • administrations,
  • associations
  • personnes physiques dans le cadre d’une activité commerciale (ou non exclusivement personnelle et domestique)

Le critère d’application : les données personnelles

Le critère juridique d’application du règlement (inscrit dans l’article 2) est : est-ce que l’organisation traite des données personnelles :

Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Attention toutefois : la notion de donnée personnelle est spécifique dans le RGPD : est considéré comme donnée personnelle, toute donnée qui permet d’identifier une personne.

Ainsi dès lors qu’une organisation, quelle qu’elle soit, dispose d’un nom, d’un prénom ou d’une adresse email sur un de ses systèmes informatiques, le RGPD viendra s’appliquer.

Des exemples de traitement de données personnelles

De manière assez classique, les organisations vont disposer d’un certain nombre de traitements de données personnelles qui vont engendrer l’application du RGPD :

  • en matière RH (recrutement, paye, base CV, gestion de la formation des personnels internes, téléphonie sur le lieu de travail),
  • en matière commerciale (prospection commerciale, vente de ses biens et services, facturation, gestion de la comptabilité),
  • en matière marketing (blog Wordpress, et organisations de petits-déjeuners pour la présentation de ses produits, ainsi que des enquêtes marketing)
  • et juridique (gestion du contentieux).

En cela, la règlementation s’applique donc très largement à toutes les organisations en Europe, par exemple, dès lors:

  • qu’elles ont des salariés
  • que ces organisations ont des clients personnes physiques

L’objectif de la règlementation est de s’assurer que les données personnelles qui sont confiées aux organisations puissent être traitées sans trop de risques pour les personnes.

Quelles sont les sanctions en cas de non-respect ?

Le RGPD a été introduit en raison des très nombreux abus liés à la gestion des données clients / utilisateurs. La règlementation a imposé des amendes importantes, qui peuvent aller jusqu’à 4% du chiffre d’affaires global d’une entreprise - ou 20 millions d’euros pour les TPE ou les associations.

Voici des exemples de sanctions récentes :

Quelles sont les obligations qui sont imposées et que faut-il faire en pratique ?

Le RGPD prévoit une diversité d’obligations qui sont liées essentiellement au fait d’opérer le traitement des données des personnes de sorte de ne pas créer de risques trop importants pour elles. L’idée générale est d’assurer un certain niveau de confiance quant au traitement des données qui est effectué par l’organisation en question.

À ce titre, le RGPD impose de créer un registre afin de recenser toutes les activités de traitement qui sont opérées au sein de l’organisation (on n’ajoute pas les données personnelles dans ce registre, mais simplement on indique que l’organisation dispose d’une newsletter par exemple).

Fort heureusement il est possible d’automatiser de nombreuses obligations en ayant recourt à un logiciel de gestion de la conformité RGPD.

Par exemple on peut créer un registre rapidement en important simplement les activités de traitement les plus courantes des entreprises (moins d’une minute en pratique), ce qui évite d’avoir à passer des heures à rédiger de la documentation obligatoire :

Voici un exemple de traitement prédocumenté :

Au-delà du registre, voici une série d’actions à mener pour assurer sa conformité RGPD:

  • Minimiser les données personnelles collectées
  • S’assurer du fondement juridique du traitement
  • Éviter de traiter des données sensibles
  • Afficher les mentions légales
  • Respecter le droit à la portabilité des données
  • Mettre en place un registre de conformité
  • Assurer la sécurité des données personnelles
  • Maintenez un registre de violations de données personnelles
  • Nommer un DPO
  • Mettre en place une PIA pour les traitements les plus sensibles
  • Assurez-vous de ne pas transférer des données personnelles hors UE

Legiscope dispose de plusieurs formations (menu formation) qui permettent de démarrer rapidement et mettre en oeuvre des actions de conformité et c’est sans doute ce qu’il y a de plus pratique pour disposer d’une évaluation de ses risques et se concentrer sur les actions essentielles à mener ; au-delà de ces outils, vous pouvez également lire nos articles plus détaillés sur la question : RGPD 11 actions de conformité à mettre en oeuvre.

Téléchargez la formation conformité RGPD

Téléchargez gratuitement notre formation conformité RGPD et éliminez vos risques rapidement

Thiébaut Devergranne
Docteur en droit
Thiébaut Devergranne est expert en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus
Téléchargez la formation conformité RGPD (gratuit)
Téléchargez gratuitement notre mini formation conformité RGPD et réduisez vos risques rapidement, avec l'actualité de la conformité RGPD et nos offres de produits/service exclusives !
VOS CGV (gratuites)