RGPD : Quelles obligations pour les entreprises ?
Publié le :
03/01/2018
03
janvier
janv.
01
2018
Le Règlement Général sur la Protection des Données (RGPD) sera applicable à compter du 25 mai 2018 et vise à renforcer l’encadrement de la circulation et le traitement des données à caractère personnel des personnes physiques.
Le RGPD a deux objectifs principaux : d’une part renforcer le droit des personnes dont les données sont traitées, et d’autre part responsabiliser les entreprises qui traitent des données grâce à un mécanisme d’« accountability ».
Ce nouveau concept d’« accountability » pousse les entreprises à pratiquer l’autocontrôle et marque la fin du mécanisme de formalités préalables.
Si la mise en œuvre de ce nouveau Règlement créé de nouvelles obligations pour les entreprises, elle constitue néanmoins une aubaine en matière de valorisation des données, de sécurisation des traitements de données personnelles et de renforcement de la réputation et de l’image de l’entreprise. Pour ainsi dire, la mise en conformité avec le RGPD constitue incontestablement un avantage concurrentiel.
En quoi consistent ces obligations ?
- Respecter le principe de protection des données personnelles et de la vie privée imposées par le Règlement, dès la conception de tout projet (« privacy by design ») et ce, par défaut (« privacy by default ») .
- Avoir une vision globale des traitements : les entreprises de plus de 250 salariés ou qui traitent régulièrement des données devront recenser les traitements qu’elles mettent en œuvre dans un « Registre des traitements ».
- Etre en mesure prouver que les traitements de données à caractère personnel mis en œuvre respectent les règles applicables, notamment via l’adhésion à des codes de conduite et l’obtention de certification par les responsables de traitement et sous-traitant.
- Notifier toute violation de données à caractère personnel par le responsable de traitement et le sous-traitant aux autorités et aux personnes concernées.
- Réaliser une étude d’impact sur la vie privée pour les traitements à risque. Cette étude doit faire apparaître les caractéristiques du traitement, les risques et les mesures adoptées.
- Désigner un délégué à la protection des données (« Data Protection Officer ») pour les organismes publics, les entreprises dont l’activité principale les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ou encore des organismes qui traitent des données dites « sensibles » ou relatives à des condamnations pénales et infractions. Sa mission consistera à :
- contrôler le respect du Règlement et du droit national en matière de protection des données ;
- conseiller l’organisme sur la réalisation d’une analyse d’impact et d’en vérifier l’exécution ;
- et coopérer avec l’autorité de contrôle.
- S’assurer que les personnes sont informées de la durée de conservation des données, l’existence de profilage, de leurs droits et des voies de recours disponibles et que ces informations soient présentées de manière claires et concises. Les entreprises devront donc auditer et modifier l’ensemble des mentions « Informatiques et Libertés » contenues dans les formulaires de souscription et les conditions contractuelles.
- Permettre aux personnes dont les données sont traitées d’exercer :
-leur droit à la portabilité des données : consistant à récupérer des données les concernant dans un format structuré, couramment utilisé et lisible par machine.
-leur droit de limitation : permettant de demander la suspension du traitement des données (et non la suppression).
Ainsi, les entreprises devront adapter leur système d’information afin de pouvoir stocker les données sans que celles-ci fassent l’objet de traitement ou de modification.
Un tel projet de mise en conformité peut s’avérer lourd et donc nécessiter le concours d’avocats afin que toutes les obligations soient dument respectées et que le projet présente un véritable avantage concurrentiel.
Cet article n'engage que son auteur.
Crédit photo : © ALF photo - Fotolia.com
Auteur
Constance BEYELER
Avocate
CORNET VINCENT SEGUREL LILLE
LILLE (59)
Historique
-
RGPD : Quelles obligations pour les entreprises ?
Publié le : 03/01/2018 03 janvier janv. 01 2018Entreprises / Gestion de l'entreprise / Gestion des risques et sécurité
Le Règlement Général sur la Protection des Données (RGPD) sera applicable à compter du 25 mai 2018 et vise à renforcer l’encadrement de la circulation et l...
-
Bail Commercial : qui peut résilier le bail au cours d’un redressement judiciaire ?
Publié le : 20/12/2017 20 décembre déc. 12 2017Entreprises / Gestion de l'entreprise / Construction Immobilier
En cas de désignation d’un administrateur dans le cadre d’une procédure de redressement judiciaire, la décision de ne pas continuer le bail de l’immeuble,... -
Protection des données personnelles : l'avis de la CNIL sur le projet de loi
Publié le : 14/12/2017 14 décembre déc. 12 2017Entreprises / Gestion de l'entreprise / Informatique et Réseaux
La CNIL a rendu le 30 novembre 2017 son avis sur le projet de loi relatif à la protection des données personnelles. Le 27 avril 2016 a été adopté le « p... -
Bail de centre commercial : haro sur la clause d’adhésion forcée à une association de commerçants
Publié le : 04/12/2017 04 décembre déc. 12 2017Entreprises / Gestion de l'entreprise / Construction Immobilier
La clause statutaire imposant l’adhésion à une association est nulle car contraire à liberté d’association. La seule méconnaissance de cette liberté ouvre... -
Bail commercial : résiliation du bail après un congé sans offre de renouvellement
Publié le : 01/12/2017 01 décembre déc. 12 2017Entreprises / Gestion de l'entreprise / Construction Immobilier
La Cour de Cassation a eu à se prononcer sur la possibilité juridique pour un bailleur de pouvoir obtenir la résiliation d’un bail commercial après l’échéa... -
Beaujolais nouveau : le siroter au bureau, c’est permis ?
Publié le : 15/11/2017 15 novembre nov. 11 2017Entreprises / Gestion de l'entreprise / Gestion des risques et sécurité
Le traditionnel (jeune) vin rouge de l’automne fait son grand retour ce jeudi 16 novembre. Certaines entreprises choisissent de le célébrer avec les salari... -
Dénégation du droit au statut des baux commerciaux après offre de paiement de l'indemnité d'éviction : quels délais de prescription ?
Publié le : 09/11/2017 09 novembre nov. 11 2017Entreprises / Gestion de l'entreprise / Construction Immobilier
Le bailleur qui a offert le paiement d’une indemnité d’éviction après avoir exercé son droit d’option peut dénier au locataire le droit au statut des baux...