Pourquoi se mettre en conformité avec le RGPD ?

//Pourquoi se mettre en conformité avec le RGPD ?

 

Le Règlement Général de Protection des Données du 27 avril 2016 (« RGPD ») entre en vigueur le 25 mai prochain.

La protection des données personnelles ne date pas du Règlement. En France, la protection des données personnelles est régie par la Loi informatique et Libertés en date du 6 janvier 1978. La Loi a été modifiée à de nombreuses reprises notamment par la Loi du 6 août 2004 qui a transposé la Directive 95/46 sur la protection des données personnelles.

L’autorité compétente pour assurer la protection des données personnelles est la Commission Nationale de l’Informatique et Libertés (« CNIL »).

La CNIL peut notamment être saisie sur plainte ou procéder directement à des contrôles afin de s’assurer qu’une entreprise respecte bien ses obligations au regard de la protection des données personnelles.

Jusqu’en octobre 2016, le montant maximal des amendes était de 150.000 euros et 300.000 euros en cas de récidive. Les sanctions les plus connues sont celles qui ont été prononcées contre Google.

Depuis octobre 2016 et la Loi pour une République Numérique, le montant des amendes est passé à 3 millions d’euros.

Le RGPD va beaucoup plus loin, prévoyant des sanctions de 2% à 4% du chiffre d’affaires mondial (Groupe) ou 10 ou 20 millions d’euros d’amende en fonction des infractions.

Jusqu’à présent, de nombreuses entreprises en France ont délaissé la protection des données personnelles surtout lorsqu’elles ont des activités en BtoB.

Elles ne pourront plus ignorer le RGPD quand celui entrera en vigueur…

Le RGPD s’applique à toutes les entreprises, associations, fondations, personnes publiques à partir du moment où elles collectent des données personnelles définies comme des données permettant d’identifier une personne physique ou de la rendre identifiable.

Par exemple, les données d’un client figurant dans un fichier client sont des données personnelles si elles permettent d’identifier cette personne (nom, prénom, numéro de téléphone, email, poste). Le RGPD ne concerne pas seulement les données d’entreprises travaillant en BtoC.

Le RGPD est basé sur la responsabilisation du responsable de traitement (celui qui contrôle les moyens du traitement) mais également du sous-traitant (agissant au nom et pour le compte du responsable de traitement). On parle d’ « accountability ».

Il est impératif pour les entreprises de prévoir une acculturation à la protection des données personnelles et de sensibiliser son personnel à cette protection, et ce, dès la conception d’un traitement (« privacy by design »).
Enfin, la conformité au RGPD est devenue un argument commercial dans la négociation commerciale.

Un grand groupe et même une PME ne peuvent se permettre de travailler avec des prestataires qui ne sont pas conformes au RGPD et de prendre ainsi le risque d’une condamnation lourde par la CNIL au niveau financier et en termes de réputation.

Le Cabinet a mis en place une offre afin de permettre aux entreprises, associations, fondations… de se mettre en conformité avec le RGPD ainsi qu’une offre de DPO (« Délégué à la Protection des Données ») externalisé.

Si vous souhaitez avoir des informations complémentaires, voici nos coordonnées :

Clémence Philippe
cp@welaw-avocats.com
01 85 08 02 70