Pour toute plateforme proposant des produits ou prestations en ligne, une donnée est aujourd’hui devenue incontournable : le RGPD. Le règlement général sur la protection des données a été mis en place par l’Union européenne et a pour vocation d’informer et de protéger les utilisateurs quant à l’utilisation de leurs informations personnelles. Grâce à la CNIL, la France applique de plus en plus efficacement les mesures mises en place par le règlement européen.
Qu’est-ce que le RGPD ?
Il s’agit d’un règlement au niveau européen enregistré sous le numéro 2016/679 par le Parlement européen et le Conseil du 27 avril 2016. Cette norme adoptée au niveau européen est donc applicable directement en France et revêt un caractère impérieux pour l’ensemble des ressortissants européens. Autrement dit, aucune plateforme internet ne peut déroger aux règles instaurées par ce texte. Ce règlement vient approfondir les mesures déjà mises en place en France par la loi “Informatique et Libertés” de 1978. Bien souvent, toute une formation RGPD est nécessaire à appréhender cette discipline afin de comprendre et d’appliquer correctement tous ses aspects.
La Commission nationale de l’informatique et des libertés (CNIL) explique et veille au bon respect de cette réglementation européenne en France par toute entité (qu’elle soit publique ou privée) exploitant des données personnelles si elle est implantée en Europe ou si elle cible directement les ressortissants européens.
La CNIL, RGPD contrôle le traitement des données personnelles, c’est-à-dire tous les éléments qui peuvent dévoiler l’identité d’une personne de manière directe ou indirecte et vérifie que ces informations sont bien exploitées dans un but précis, légal et légitime par le propriétaire de la plateforme.
Comment mettre en place le RGPD ?
Tout d’abord l’entreprise va devoir désigner un délégué à la protection des données (DPO), qui peut être interne ou externe à l’entreprise, cet acteur sera le référent en matière de RGPD et devra donc veiller à mettre en place l’ensemble des diligences recommandées. En tant que DPO, vous pourrez trouver une formation rgpd facilement. Le DPO va ensuite se charger d’effectuer une cartographie des données personnelles présentes au sein de son entité, puis il se chargera de faire un historique sur les moyens de collecte, l’antériorité des données et leur utilisation.
Dès lors, un inventaire sera dressé et devra être mis à jour régulièrement. Cet inventaire doit reprendre différents éléments essentiels à savoir : les différents traitements effectués, les différentes données recueillies et utilisées ainsi que leurs caractéristiques principales, identifier les acteurs traitant ces données, identifier de quelle manière est mis en place le traitement les conditions d’exécution du traitement et référencer la durée de conservation des données personnelles.
Il s’agit ainsi d’un rôle majeur et qui nécessite une grande précision. Le DPO travaille en collaboration avec la direction de l’entité, mais reste indépendant dans l’exécution de sa mission. Une formation de sensibilisation RGPD est souvent indispensable pour tout délégué prenant sa mission.
Quelles sanctions en cas de non-respect ?
La réglementation RGPD est stricte et son non-respect entraîne des sanctions pécuniaires conséquentes afin de créer un réel effet dissuasif. La sanction pécuniaire est ainsi fixée à une amende correspondant à 4% du chiffre d’affaires d’une entreprise ou bien une amende d’un montant de 20 millions d’euros. Outre cette amende, la CNIL peut également prononcer un rappel à l’ordre, prononcer une injonction de se mettre en conformité y compris sous astreinte, limiter le traitement des données effectué par l’entité et/ou suspendre le flux de données. Par ailleurs, la sanction prononcée peut être rendue publique, ce qui risque de nuire à la notoriété d’une entité et augmente alors l’effet dissuasif. En cas de sanction, il est donc recommandé de se tourner rapidement vers une assistance juridique qui pourra vous aider à prendre rapidement les choses en main et éviter une condamnation trop lourde.
La CNIL se charge du bon respect des mesures présentes dans le RGPD et de ce fait, elle dispose, depuis la loi du 6 août 2004, du pouvoir de poursuivre et de sanctionner les responsables de traitements de données à caractère personnel. Les sanctions peuvent venir s’appliquer suite à un contrôle aléatoire effectué par la CNIL ou après dépôt d’une plainte par un utilisateur ou un organisme de protection lésé par le non-respect du règlement. Tel est d’ailleurs le cas avec une plainte déposée par France Digitale contre Apple qui a fait couler beaucoup d’encre.
