RGPD: Quelles sont les exigences ?

Beaucoup de discussions ont eu lieu cette année au sujet du Règlement Général Européen sur la Protection des Données (RGPD). Naturellement, certaines informations ont été confuses voir parfois fausses.

Certains de ces malentendus ont donc été collectés dans une série de blogs publié par l’ICO (Information Commissioner’s Office).

 

Des amendes imposantes

Le RGPD donne aux autorités de contrôle le pouvoir d’imposer des amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel – selon le montant le plus élevé.

Cette information a été utilisé dans le but de mettre en avant l’importance de se conformer au RGPD. Par exemple, The Register, explique que si le RGPD avait été mis en application l’an dernier, les amendes utilisées à l’encontre des petites et moyennes entreprises aurait eu un impact « catastrophique », poussant potentiellement un grand nombre d’entre elles à mettre fin à leur activité.

Cependant, Elizabeth Denham, présidente de l’ICO, indique que les sanctions financières seront leur dernier recours. Cela sera surement le cas pour la plupart des autorités de contrôle puisque, si le RGPD a pour but de rendre les entreprises plus responsables concernant la gestion des données personnelles, dans la plupart des cas ce message peut être délivré via des avertissements, mesures correctives ou atteinte à la réputation.

Attention, cela ne signifie pas pour autant que les entreprises n’auront pas à se soucier des risques d’amendes. En effet, les autorités de contrôle n’hésiteront pas à imposer de larges amendes en cas de non-respect flagrant du RGPD.

 

Refonte des pratiques de protection des données

Certains des commentaires sur le RGPD suggèrent que les entreprises seront fortement limitées.

En réalité, la plupart des exigences du RGPD sont similaires à celles des lois actuelles de protection des données. Mais les entreprises devront mettre l’accent sur la protection des données et donner aux personnes concernées plus de contrôle sur leurs données personnelles. Les entreprises auront la possibilité d’envoyer des emails mais devront avoir une raison légitime, protéger les données qu’elles conservent et permettre aux personnes concernées d’accéder à leurs données.

 

Consentement obligatoire

Si beaucoup de personnes sont inquiètes concernant l’obtention de consentement, il est important de noter que les entreprises ne dépendent pas uniquement du consentement pour traiter des données.

En effet, s’il est l’une des six raisons légitimes nécessaires au traitement des données personnelles, il reste la moins bonne des options.

Si vous utilisez le consentement afin de traiter des données et souhaitez par la suite réutiliser ces informations à d’autres fins, vous devrez alors redemander le consentement des personnes concernées. Vous devrez alors supprimer les données personnelles de toute personne refusant de donner son consentement ou ne répondant pas à votre demande.

De la même façon, les personnes ont la possibilité de retirer leur consentement à tout moment. Cela signifie que vous devrez supprimer leurs données de vos archives. Si vous ne vous pliez pas à cette exigence, votre entreprise risquera alors des actions disciplinaires de la part des autorités de contrôle.

Cependant, le consentement peut, parfois, être la base de traitement de données la plus appropriée. Attention vous devrez alors connaitre vos obligations.

 

Des exigences de signalement de violation de données non réalistes

Il y a eu beaucoup de confusion concernant les règles à suivre lors du signalement d’une violation de données. Comme l’indique l’ICO, il a été mentionné à plusieurs reprises et de manière erronée que toutes les violations de données doivent être signalées et que les rapports de signalement doivent fournir une analyse détaillée de l’intrusion.

Il ne sera obligatoire de signaler une violation de données personnelles que si celle-ci présente un risque important pour les droits et libertés des personnes concernées. Cela comprend les désavantages significatifs économiques et sociaux tels que la discrimination, l’atteinte à la réputation ou les pertes financières. Attention, si les risques sont importants, les entreprises devront également prévenir les personnes concernées.

Toute violation qui répond à ces critères doit être signalée dans les 72 heures suivant sa découverte. C’est pourquoi le rapport ne comprend pas une analyse approfondie et détaillée – du moins initialement. Le RGPD prend en compte le fait que les entreprises ne pourront pas réunir tous les faits dans le temps impartie mais, l’envoi rapide des informations de base permet d’accélérer le processus de récupération.

Dans le délai imparti, les entreprises devraient au moins pouvoir fournir la portée potentielle ainsi que la cause de l’intrusion et les mesures qu’elles vont prendre afin de répondre et minimiser le problème.

 

En savoir plus sur le RGPD

Vous souhaitez en savoir plus sur le RGPD ? Inscrivez-vous à l’une de nos formations.

Selon votre niveau d’expertise, les formations suivantes peuvent vous intéresser :

Formation certifiée d’introduction au Règlement Général Européen sur la Protection des Données (RGPD)

Formation certifiée de spécialisation au Règlement Général Européen sur la Protection des Données (RGPD)

Réservez ces formations ensemble avec notre offre combinée et économisez 15%.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.