Données personnelles : les entreprises doivent se mettre en conformité

Par Maître Claire-Hélène BERNY
Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) promulgué par la Commission Européenne est devenu applicable en France et dans les 28 pays de l’Union Européenne.
Ses dispositions sont applicables par tous les organismes (entreprises, personnes morales, associations, exploitations…) qui sont amenés à collecter, enregistrer, conserver et manipuler des données personnelles, donc à mettre en place un traitement de ces données personnelles.

Rappelons qu’une donnée personnelle est définie comme toute information relative à une personne physique, qui l’identifie (nom et prénom, état civil) ou la rend identifiable (numéro de sécurité sociale, adresse postale, adresse mail, …).Un traitement des données à caractère personnel peut être tout simplement la conservation d’un fichier de clients, d’une liste de personnes faisant l’objet de prospection (invitations…), d’un fichier de facturation, un fichier des salariés et anciens salariés…. Il n'est pas nécessaire que ce soit quelque chose de très complexe.

Toutes les entreprises sont donc concernées, car toutes, pour les besoins de leur activité, sont amenées à collecter et à traiter des données à caractère personnel.

Chacune doit donc s'interroger sur ses pratiques, sur la nature des données collectées et leurs utilisations, ainsi que sur l'utilisation qu'il sont amenés à en faire. Puis, elles doivent ensuite veiller à la bonne information des personnes concernées et à la licéité de leurs pratiques.

Le RGPD renforce les droits des personnes physiques concernant leurs données personnelles :

• Le droit de d’être informé de l’existence d’une collecte et d’un traitement de ses données personnelles
• Le droit d’y accéder et de les faire rectifier
• Le droit à la limitation du traitement (à la seule
• Le droit à l’oubli (destruction à l’issue d’un certain délai)
• Le droit de s’opposer, à tout moment, au traitement de ses données personnelles

En contrepartie de ses droits, les organismes mettant en place un ou plusieurs traitements de données personnelles sont investis de nouvelles obligations :

• Principe d’accountability (=auto-responsabilité) : l’organisme doit pouvoir démontrer qu’il est en conformité avec ses obligations.
• Principe d’information des personnes physiques de l’existence d’un ou plusieurs traitements de leurs données personnelles, des finalités des traitements, et des droits qui en découle
• Principe de minimisation : l’entreprise ne doit pas collecter plus d’informations que nécessaire
• Principe de conservation limitée dans le temps : les entreprises doivent prévoir, au bout d’un certain délai, des mesures d’effacement des données personnelles.

Les pénalités encourues par les entreprises dont les pratiques ne sont pas en conformité s’exposent à des sanctions importantes : une amende pouvant aller jusqu’à 2 % de leur chiffre d’affaires ou 10 M€ (le montant le plus important étant retenu) pour une organisation non conforme et 4% du CA ou 20 M€ pour le non-respect des droits des internautes.

Le Cabinet peut vous conseiller et vous assister dans votre mise en conformité. N'hésitez pas à nous contacter.