Quelles sont les nouvelles obligations RGPD pour les entreprises ?
Le RGPD renforce la protection des personnes concernées par la collecte de données afin de réduire la cybercriminalité.
La responsabilisation des entreprises
Le RGPD favorise la responsabilisation des entreprises avec un double enjeu de transparence et de traçabilité. Le principe " d'accountability " donne obligation à l'entreprise de garantir en tout temps que le processus de protection de données est conforme, sécurisé et garantit la confidentialité. Les données personnelles se définissent comme les informations permettant l'identification d'une personne ou d'une entreprise. Il peut s'agir du nom ou de la raison sociale, de l'adresse ou du siège social ou encore du numéro de la carte d'identité ou d'une adresse IP. Les nouvelles obligations concernent les trois points suivants.
La légitimité
Suivant l'article 5.1.b du RGPD, les données doivent être obtenues à des finalités déterminées, explicites et légitimes. La collecte de données doit être minimisée en fonction de la finalité et l'entité doit informer l'individu de la durée de conservation de ces informations.
Licéité et transparence
Suivant l'article 7 du RGPD, l'individu concerné par la collecte de données est libre de consentir ou non à l'utilisation desdites données. Selon l'article 17 du règlement, le droit des personnes concernées permet de demander la destruction ou l'anonymisation des données. Les internautes disposent aussi du droit de portabilité comme le cite l'article 20.
Sécurité et respect de la vie privée
Pour assurer la conformité rgpd, le responsable désigné par l'entreprise pour traiter les données doit mettre en ouvre des mesures techniques et organisationnelles afin de garantir la confidentialité des données ainsi que leur intégrité. La cyber-sécurité s'avère réellement importante pour prévoir les divers piratages informatiques.
Les données concernées par les nouvelles obligations RGPD
Dans l'optique de conférer aux individus plus de maitrise sur leurs données personnelles, le RGPD introduit de nouvelles règles sur la collecte, la gestion et la sécurité de leurs données personnelles. Ces nouvelles obligations concernent les informations qui permettent l'identification directe ou indirecte de l'individu concerné telles qu'un nom, un numéro d'identification, des données de localisation ou autre, et ce peu importe leur support.
Les organisations concernées
Toutes les organisations sont concernées par l'application de ces nouvelles dispositions, qu'elles soient d'ordre public ou privé, sans distinction de taille ou de secteur. Dès que l'entité traite des données personnelles relatives à un résident européen, le RGPD s'applique. Les sous-traitances sur le territoire ou l'externalisation sont également concernées par le règlement.
La sous-traitance
Tout prestataire de service traitant des données personnelles pour le compte de ses clients est considéré comme sous-traitant par le règlement RGPD. Parmi ces prestataires de service, on peut citer les consultants informatiques, les sociétés de sécurité informatique, les consultants en marketing et communication. L'entreprise client doit vérifier auprès de ses sous-traitants le respect du règlement RGPD. En effet, en cas de contrôle, l'entité se verra engagée dans une coresponsabilité si l'un des règlements RGPD n'est pas respecté.
Sanctions en cas de non-respect du RGPD
La violation des dispositions du RGPD peut entrainer une sanction financière allant jusqu'à 20 000 000 euros ou l'équivalent de 4 % du chiffre d'affaires annuel de l'exercice précédent de l'entreprise. L'article 23 du RGPD apporte plus de détails sur ces sanctions.