Le produit
Nos offres
Nos engagements RGPD
Actualités
Contact
Qui sommes nous

La législation RGPD


Les principaux changements

Qui est concerné ?

Les sanctions

1. La cartographie des traitements et la tenue du registre des activités sur ses traitements :

Dans le but de maintenir une traçabilité et une connaissance de ces données, le RGPD impose de recenser tous documents,
fichiers, applications, ou bases de données qui concernent la collecte, le classement, le stockage, l’utilisation,
le partage de données personnelles ou sensibles.
Le registre, lui, consiste à consigner les activités faites sur les traitements, et doit donc être mis à jour régulièrement.

2. Pouvoir répondre dans les nouveaux délais :

Un individu a aujourd’hui la possibilité de demander l’accès à ses données, à leurs réctifications ou encore à leurs supressions.
Toutes ces demandes doivent être traitées sous un délai d’un mois (contrairement à 3 mois avant l’application du RGPD).

3. Obtenir le consentement :

Les utilisateurs doivent systématiquement pouvoir donner leur accord ou refuser de manière explicite et distincte (Finies les cases pré-cochées).
Ils doivent également être informés de façon claire et intelligible de l’utilisation faite de leurs données.
Vous, en tant qu’organisation, devez pouvoir justifier à tout moment du consentement d’un utilisateur.

4. Réaliser les études d’impact et signaler les incidents :

Un point clé du RGPD est l’identification des traitements à risques pour la vie privée des personnes.
Si vous avez en votre possession ce type de traitements, il faut alors réaliser une étude d’impact sur la vie privée (EIVP ou PIA)
pour évaluer le niveau de risque, et mettre en place des actions pour garantir une sécurité optimale.
En cas de faille de sécurité, vous devez notifier les personnes concernées et la CNIL sous un délai maximum de 72 heures.

5. Le DPO :

Avec l’application du RGPD, vous êtes dans l’obligation de nommer un DPO (Data Protection Officer) si votre organisation fait partie d'un de ces cas :

• Vous êtes une collectivité,
• Votre entreprise comporte plus de 250 salariés,
• Votre activité porte sur la gestion régulière de données d’un nombre important de personnes.

Le DPO a pour mission de guider votre entreprise dans son processus de mise en conformité au RGPD, par le biais de sensibilisations,
d’audits et de contrôles.

Il est également le point de contact avec la CNIL. Il peut être issu de votre organisation ou être un prestataire externe,
à temps plein ou mutualisé entre plusieurs structures.

Crédit image : Freepik




Si votre organisation traite de données personnelles de citoyens européens, alors vous êtes directement concerné par le RGPD.
Les « données personnelles » sont toutes celles permettant d’identifier directement ou indirectement une personne physique.
L’âge, le sexe, l’adresse email, le numéro de téléphone, l’activité professionnelle, d’un individu en sont des exemples.
De la même manière les données comportementales collectées sur Internet sont considérées comme telles, dès lors qu’elles sont reliées à une identité.

De manière générale, vous êtes concerné si :

• Votre structure fait partie de l'union européenne,
• ou bien propose des biens ou des services à des personnes qui se trouvent sur le territoire de l'Union européenne.

Crédit image : Gregor Cesnar




Deux catégories de sanctions :

Des sanctions administratives :

Selon la catégorie de l'infraction constatée, l'amende s'échelonne de 2% à 4% du chiffre d'affaires annuel de l’entreprise (ou de 10 à 20 millions d'euros). La CNIL aura également à sa disposition une série de sanctions administratives graduées allant de l’avertissement à la rectification ou la suppression des données incriminées.
L'entreprise devra également une compensation financière à toute personne ayant subi un dommage matériel ou moral dans le traitement de données personnelles.

Des sanctions pénales :

Elles peuvent aller jusqu’à une amende de 300 000€ et 5 ans d’emprisonnement pour le responsable légal.

Crédit image : Dinosft Labs