RGPD : quelles sont les obligations ?

Le nouveau règlement européen sur la protection des données personnelles (RGPD) est entré en application le 25 mai 2018. Son objectif : renforcer les droits des citoyens en matière de protection des données personnelles. Il impose de nouvelles obligations en matière de traitements de ces données.


Qui est concerné ?

Toutes les organisations publiques ou privées qui traitent des données personnelles, qui sont établies sur le territoire de l’Union Européenne ou dont l’activité cible des résidents de l’Union Européenne.


Que doivent mettre en place les entreprises ?

- Il vous faut d’abord informer les personnes sur les traitements effectués sur leurs données personnelles et recueillir leur consentement.

- Chaque entreprise doit lister l’ensemble des traitements de données personnelles qu’elle réalise, dans un document appelé « Registre des traitements ». Il faut vérifier que seules sont collectées les données nécessaires à l’activité, et que vous ne collectez pas de données dites « sensibles ».

- Vous devez faire figurer des mentions d’information, précisant les objectifs et conditions du traitement de données personnelles, sur tous les supports utilisés pour collecter des données.

- Vous devez également prévoir la façon de traiter les demandes des personnes, en ce qui concerne leurs droits sur leurs données personnelles (droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement).

- Vous devez vous assurer de travailler avec des prestataires (dénommés « sous-traitants » dans le RGPD) eux-mêmes agissant en conformité avec ce règlement.

- Enfin, vous devez garantir que toutes les mesures de sécurité permettant d’assurer la protection des données personnelles sont prises.

- Si votre entreprise réalise des traitements de données personnelles à grande échelle présentant des risques particuliers, vous devrez désigner un délégué à la protection des données. Ce délégué peut être interne ou mutualisé entre plusieurs entreprises.


Où trouver des ressources ?

La CNIL (Commission Nationale Informatique et Libertés) propose sur son site de nombreux outils (modèles de registre de traitement, de mentions d’informations, etc.) et des conseils.
www.cnil.fr/fr/rgpd-passer-a-laction