A compter de mai 2018, ce règlement européen sera applicable en France
Qui est concerné par cette réglementation ?
Quelles seront les actions et mesures à déployer pour être en conformité avec cette nouvelle réglementation ?
Est concernée par cette réglementation,toute personne, physique ou morale, qui « traite », manuellement ou informatiquement, des données personnelles collectées (exemples de données : identité de la personne, adresse IP etc. – exemples de collecte : les données peuvent être collectées via un formulaire de contact, via un formulaire d’inscription à une newsletter, via une page de capture, via un compte client, un bon de commande etc. – exemples de traitement : gestion des clients, fidélisation et prospection commerciales, comptabilité, gestion des fournisseurs etc.).
La personne concernée devra mettre en place une véritable politique « Informatique et Libertés » pour être en conformité avec cette nouvelle réglementation, à savoir :
- Mettre en place une procédure appropriée lui permettant de respecter le droit des personnes concernées par la collecte des données, à savoir : informer la personne du traitement de ses données personnelles ET répondre à toute demande des personnes concernées par la collecte de données ;
- Mettre en œuvre des mesures techniques et organisationnelles lui permettant de s’assurer que le traitement des données est effectué conformément à ce règlement européen et être en mesure de le démontrer. Cela implique par conséquent, la mise en place d’une véritable gouvernance des données personnelles collectées ;
- Organiser les relations entre les acteurs (en interne et/ou sous-traitants) du traitement des données car cette nouvelle législation impose que ces relations soient encadrées. Cela implique par conséquent, de prévoir une répartition claire des rôles des différents acteurs ainsi que de leurs responsabilités respectives ;
- Mettre en place des mesures de sécuritéet de confidentialité visant à la protection des données collectées. En cas, par exemples de perte, altération, divulgation non autorisée, destruction etc. des données collectées. Pour ce faire, il faudra prévoir une méthode d’évaluation des risques d’atteinte aux données collectées ainsi que l’impact sur les droits et libertés des personnes concernées.
Sanctions encourues en cas de non-respect du RGDP
L’autorité de contrôle nationale pourra prononcer un rappel à l’ordre, ordonner la mise en conformité avec le RGPD, ordonner le respect des droits des personnes (ex. : ordonner la rectification, l’effacement des données personnelles …), prononcer une amende administrative, saisir les autorités judiciaires en vue de faire respecter le RGPD.
De plus, toute personne concernée par le traitement de ses données personnelles peut saisir la juridiction compétente si elle considère que ses droits ont été violés du fait du traitement de ses données personnelles et demander réparation.