Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018, les entreprises et organisations doivent se conformer à de nouvelles règles concernant le traitement et la protection des données personnelles. Ces changements impliquent de nouvelles responsabilités pour les sociétés, qui doivent désormais être en mesure de garantir la sécurité et la confidentialité des informations qu’elles détiennent sur leurs clients, employés et partenaires. Cet article présente un aperçu des principales obligations et responsabilités qui incombent aux entreprises dans le cadre du RGPD.
1. La désignation d’un responsable de la protection des données (DPO)
Parmi les nouveautés introduites par le RGPD, on note l’obligation pour certaines entreprises de désigner un Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO) en anglais. Ce responsable a pour mission de veiller au respect du RGPD au sein de l’entreprise et d’être le point de contact avec les autorités compétentes en matière de protection des données, telles que la Commission Nationale Informatique et Libertés (CNIL) en France.
La désignation d’un DPO est obligatoire pour les organismes publics, ainsi que pour les entreprises dont l’activité principale consiste en un traitement régulier et systématique des données à grande échelle, ou en un traitement de données sensibles (données médicales, ethniques, religieuses, etc.). Toutefois, même si la désignation d’un DPO n’est pas obligatoire pour certaines entreprises, il est recommandé d’en nommer un afin de mieux maîtriser les risques liés à la protection des données personnelles.
2. L’adoption de mesures techniques et organisationnelles appropriées
Le RGPD impose aux entreprises de mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles qu’elles traitent. Ces mesures incluent notamment :
- La pseudonymisation et le chiffrement des données
- L’assurance de la confidentialité, de l’intégrité et de la disponibilité des systèmes et services de traitement
- La mise en place de procédures pour tester, évaluer et améliorer régulièrement l’efficacité des mesures de sécurité
- La gestion des accès aux données
Ces mesures doivent être adaptées au risque présenté par le traitement des données personnelles, en tenant compte notamment du volume et de la sensibilité des données traitées.
3. La tenue d’un registre des activités de traitement
Toute entreprise doit tenir à jour un registre des activités de traitement qu’elle effectue sur les données personnelles. Ce registre doit contenir les informations suivantes :
- Le nom et les coordonnées de l’entreprise (ou de son représentant légal)
- Les finalités du traitement
- Une description des catégories de données personnelles et des personnes concernées
- Les destinataires auxquels les données ont été ou seront communiquées
- Les transferts de données vers des pays tiers ou à des organisations internationales
- Les délais prévus pour l’effacement des différentes catégories de données
- Une description générale des mesures techniques et organisationnelles de sécurité mises en place
Ce registre doit être tenu à la disposition des autorités compétentes en matière de protection des données, qui peuvent en demander la communication à tout moment.
4. La réalisation d’une analyse d’impact sur la protection des données (AIPD)
Lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, le RGPD impose aux entreprises de réaliser une analyse d’impact sur la protection des données (AIPD). Cette analyse doit permettre d’évaluer les risques liés au traitement et de déterminer les mesures appropriées pour y faire face.
L’AIPD doit être réalisée avant la mise en œuvre du traitement, et doit notamment inclure :
- Une description systématique du traitement envisagé et de ses finalités
- Une évaluation du niveau de risque présenté par le traitement pour les droits et libertés des personnes concernées
- Les mesures envisagées pour atténuer ces risques
- La justification de la proportionnalité et de la nécessité des opérations de traitement au regard des finalités poursuivies
En cas de risque élevé qui ne peut être suffisamment atténué, l’entreprise doit consulter l’autorité compétente en matière de protection des données avant d’effectuer le traitement.
5. La notification des violations de données personnelles
En cas de violation des données personnelles (vol, perte, destruction, divulgation non autorisée, etc.), le RGPD impose aux entreprises de notifier cette violation à l’autorité compétente en matière de protection des données dans les 72 heures suivant sa découverte. Cette notification doit comprendre :
- La nature de la violation
- Les catégories et le nombre approximatif de personnes concernées et de données personnelles concernées
- Les mesures prises ou proposées pour remédier à la violation et limiter ses effets négatifs
- Les coordonnées du DPO ou d’un autre point de contact au sein de l’entreprise
S’il est probable que la violation présente un risque élevé pour les droits et libertés des personnes concernées, celles-ci doivent également être informées sans délai.
6. Le respect des droits des personnes concernées
Le RGPD renforce les droits des personnes concernées en matière de protection des données personnelles. Les entreprises doivent donc s’assurer de respecter ces droits, notamment :
- Le droit d’accès aux données
- Le droit de rectification
- Le droit à l’effacement (« droit à l’oubli »)
- Le droit à la limitation du traitement
- Le droit à la portabilité des données
- Le droit d’opposition au traitement
Pour répondre aux demandes des personnes concernées, les entreprises doivent mettre en place des procédures internes permettant d’identifier et de traiter rapidement et efficacement ces demandes.
Dans cette perspective, le RGPD introduit également une obligation de transparence pour les entreprises, qui doivent fournir aux personnes concernées des informations claires et compréhensibles sur le traitement de leurs données personnelles et sur leurs droits.
7. La coopération avec les autorités compétentes en matière de protection des données
Enfin, le RGPD prévoit que les entreprises doivent coopérer avec les autorités compétentes en matière de protection des données, notamment en leur fournissant toutes les informations nécessaires pour vérifier la conformité du traitement des données personnelles avec le règlement.
Cette coopération peut prendre différentes formes, telles que la communication du registre des activités de traitement, la consultation préalable en cas de risque élevé lié à un traitement, ou encore la participation à des audits ou inspections réalisés par l’autorité compétente.
Les entreprises qui ne respectent pas leurs obligations en matière de protection des données personnelles s’exposent à des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, selon le montant le plus élevé.
Face aux nouvelles responsabilités imposées par le RGPD, il est essentiel pour les entreprises de se doter de mesures et procédures adéquates pour garantir la protection des données personnelles et éviter les sanctions. La mise en conformité avec le RGPD doit être considérée comme une opportunité pour renforcer la confiance des clients, employés et partenaires, et ainsi contribuer au succès et à la pérennité de l’entreprise.