RGDP : quelles obligations pour les entreprises ?

Le RGPD a pour but de protéger les droits des personnes dont les données personnelles sont collectées, contre toute violation. En effet, les actes de cybercriminalité dont les entreprises sont victimes témoignent des nombreux risques auxquels sont exposées ces données.

Pour renforcer la collecte des données et conférer au responsable un peu plus de maitrise sur le traitement qui est fait par la suite, le RGPD a pris un certain nombre de mesures. Ainsi, les entreprises sont désormais assujetties à des obligations en matière de collecte, de protection et de conservation des données.

Ce billet fait le point des règles que les entreprises doivent à tout prix respecter pour assurer pleinement leur fonction de sentinelle.

Recueillir le consentement de l’internaute

Le consentement est l’une des six bases légales en matière de collecte et de traitement des données. Pour certaines données, le consentement clair et explicite de la personne concerné est requis. Le RGPD rend même obligatoire la notion de preuve du consentement. Il revient donc aux entreprises de s’assurer de collecter des données personnelles de manière totalement licite.

Pour qu’il soit considéré comme licite, un consentement doit être libre, spécifique, éclairé et univoque. En d’autres termes, une entreprise doit pouvoir mettre à la disposition de ses clients des informations claires, intelligentes et particulièrement accessibles dans le cadre de la collecte de leurs données.

Protéger l’accès aux données personnelles

En tant que responsable du traitement, l’employeur est tenu responsable de la mise en œuvre de la protection des données personnelles. Ainsi, il lui revient de s’assurer que les outils qu’il utilise sont en conformité avec la réglementation en vigueur.

L’article 25 du RGDP dispose en cette matière : « le responsable du traitement (employeur) met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ». Cette disposition s’inscrit dans le respect de la notion de privacy by design.

Notifier les violations dans la protection des données personnelles

L’entreprise est tenue de garantir la sécurité des données personnelles par tout moyen technique adapté. À cet effet, il lui échoit la responsabilité de signaler toutes les failles de sécurité présentes dans le système à la Commission nationale de l’informatique et des libertés (CNIL) qui est l’autorité de contrôle compétente.

Cette obligation incombe également aux partenaires en B2B de l’UE et aux entreprises étrangères dès lors qu’elles traitent des données personnelles relatives à un résident européen. En cas de manquement à cette disposition, tout employeur est exposé à des sanctions lourdes.

obligations rgpd pour les entreprises

Tenir un registre des traitements de données personnelles

Les entreprises de plus de deux cent cinquante salariés sont astreintes à la tenue d’un registre des traitements des données personnelles. Celles qui comportent moins de deux cent cinquante employés peuvent s’en abstenir s’il n’existe pas de risques probants touchant aux droits et aux libertés des personnes.

Mais en pratique, ça ne sera pas évident pour une entreprise de prouver que son activité de traitement de données ne comporte aucun risque majeur d’atteinte à la vie privée de ses clients. Il sera donc quasiment impossible d’échapper à cette obligation de tenue de registre.

Favoriser le droit à l’oubli, à la portabilité et à la suspension des données

L’entreprise doit pouvoir garantir aux personnes dont les données sont traitées, certains droits.

  • Le droit à l’oubli permet à un client de demander la suppression de toutes les informations qui le concerne. Cette démarche se conçoit dans des cas bien précis.
  • La portabilité des données assure à l’internaute de pouvoir récupérer ses données dans un format qui en favorise l’utilisation et la lecture par un dispositif donné.
  • La suspension des données est un droit de limitation. Tout client peut demander la suspension du traitement de ses données. Ainsi, dans le traitement des données, l’entreprise ne se limite qu’aux informations qui ne sont pas concernées par cet avis suspensif.

Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*