- 1. Qui est tenu de respecter le RGPD exactement, quelles sont les organisations concernées ?
- 2. En pratique quels sont les cas dans lequels une organisation doit respecter le RGPD ?
- 3. Qu’est-ce qu’une donnée personnelle exactement ?
- 4. Quelles sont les sanctions en cas de non respect ?
- 5. Quelles sont les obligations à respecter ?
- 6. Comment s’assurer de respecter le RGPD ?
Le RGPD est la nouvelle règlementation qui régit la collecte et le traitement de données personnelles. Dès lors qu’une organisation collecte des données qui permettent d’identifier directement ou indirectement une personne (nom, prénom, email…) cette organisation est alors tenue de respecter les obligations imposées par le RGPD.
1. Qui est tenu de respecter le RGPD exactement, quelles sont les organisations concernées ?
Toutes les organisations sont concernées (entreprise, association, administration) dès lors qu’elles collectent des données personnelles. Le RGPD s’applique que l’organisation soit publique ou privée. Il s’applique également peu importe que l’organisation soit établie en Europe ou non, si l’organisation collecte des données personnelles de personnes basées en Europe. Le RGPD est donc très large d’application.
Le RGPD s’applique globalement à toutes les organisations :
- entreprises (TPE, PME, ETI, grande entreprise)
- administrations,
- associations
- personnes physiques dans le cadre d’une activité commerciale (ou non exclusivement personnelle et domestique)
2. En pratique quels sont les cas dans lequels une organisation doit respecter le RGPD ?
Le RGPD va s’appliquer dès lors qu’une organisation va collecter et traiter des données personnelles, telles que :
- En matière RH
- recrutement
- paye
- création d’une base CV
- pour la gestion de la formation des personnels internes
- pour la téléphonie sur le lieu de travail…
- En matière commerciale
- dès lors qu’elle réalise des opérations de prospection commerciale
- pour la vente de ses biens et services et la facturation
- pour la gestion de la comptabilité
- pour la vente en ligne
- En matière marketing
- blog
- enquêtes marketing
- Dans le domaine juridique (gestion du contentieux)
3. Qu’est-ce qu’une donnée personnelle exactement ?
En résumé on peut dire qu’une donnée personnelle est toute donnée qui permet d’identifier directement ou indirectement une personne physique.
Cette notion est définie précisément dans le règlement européen de la manière suivante :
«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
4. Quelles sont les sanctions en cas de non respect ?
Les sanctions peuvent aller de 20 millions d’euros à 4% du CA global d’un groupe. Voici quelques exemples :
- 3 millions d’euros d’amende pour Carrefour pour avoir mal informé les personnes des traitements de donnée personnelle effectués
- 9.000€ de sanctions pour deux médecins qui n’ont pas correctement protégé les données personnelles de leurs patients
- 100 millions d’euros d’amende pour Google en raison de la violation des règles en matière de cookies
- 35 millions d’euros d’amende pour H&M pour surveillance illégale d’employés
- 50 millions € d’amende à Google
- l’effacement de 16 millions de fiches prospects auprès d’une entreprise qui avait mal acquis le consentement des personnes auprès desquelles les données étaient collectées, puis une semaine après, l’effacement de +60 millions de fiches prospects auprès d’une autre
- des sanctions régulières pour violation des obligations de sécurité informatique et protection des données personnelles, 500.000 pour Futura Internationale, 150.000€ ici, 400.000€ par là, 30.000€ pour une association, 50.000€ pour une Dailymotion, 75.000€ pour une association, 250.000€…
- les TPE ne sont pas épargnées par les sanctions, 10.000€ pour avoir mis en place un dispositif biométrique, 20.000€ de sanctions pour avoir mis en place un système de vidéo surveillance, l’OPH de Renne écueillera de 30.000€ pour détournement de finalité
5. Quelles sont les obligations à respecter ?
Il existe une diversité d’obligations à respecter, telles que (voir à ce sujet notre article sur les actions essentielles de conformité à mener) :
- Créer un registre et recenser tous les traitements menés par l’organisation
- Minimiser les données personnelles collectées
- S’assurer du fondement juridique du traitement (ex: obtenir le consentement au traitement des données)
- Éviter de traiter des données sensibles
- Afficher les mentions légales
- Respecter le droit à la portabilité des données
- Assurer la sécurité des données personnelles
- Maintenez un registre de violations de données personnelles
- Nommer un DPO
- Mettre en place une PIA pour les traitements les plus sensibles
- Assurez-vous de ne pas transférer des données personnelles hors UE
Si vous souhaitez démarrer, vous pouvez par exemple commencer par mettre votre site web en conformité au RGPD en suivant notre guide pratique.
6. Comment s’assurer de respecter le RGPD ?
Il est difficile en réalité de faire de réels progrès en matière de conformité RGPD sans avoir été formé ou accompagné par des professionnels du métier.
-
Vous souhaitez avancer par vous-même
- notre site https://www.donneespersonnelles.fr est une mine d’information sur le sujet du RGPD, jetez un oeil à tous nos posts
- inscrivez-vous à notre newsletter également pour être informé des actualités - et des jurisprudences en cette matière
- Notre chaîne Youtube est également une bonne manière d’avancer sérieusement sur le sujet
-
Vous souhaitez vous former sérieusement sur le sujet dans une logique professionnelle
- Notre formation Conformité RGPD de deux jours est la formation de base que vous devez suivre. C’est une référence de sérieux en France (cf. nos références clients, de très nombreux DPO d’entreprises du CAC40 ont été formés par nos soins pour gérer la conformité de groupes au niveau mondial).
- Une fois la formation de deux jours passée, vous pouvez aller plus loin avec notre formation pratique
-
Vous souhaitez automatiser une partie significative de votre travail de conformité
- Utilisez Legiscope.com
-
Vous souhaitez vous faire accompagner sur un projet de mise en conformité
- Contactez-nous via notre formulaire de contact.
Dans tous les cas nous vous invitons à suivre notre mini-formation gratuite (ci dessous) afin de progresser sur le sujet et commencer à mener vos premières actions de conformité, car c’est cela qui va réduire vos risques réels.
