RGPD : quelles obligations s’appliquent à qui ?

rgpd

Entré en vigueur en 2018, le règlement général sur la protection des données (RGPD) ambitionne d’harmoniser les pratiques des organismes concernant le traitement des données à caractère personnel sur le territoire européen. Mais selon la taille, la nature et l’activité de l’organisation, les obligations RGPD diffèrent. Décryptage !

Rappel : Qu’est-ce que le RGPD ?

Règlement européen s’inscrivant dans la continuité de la Loi informatique et libertés, le RGPD encadre le traitement des données à caractère personnel dans l’Union européenne selon trois grands objectifs :

  • Le renforcement des droits des personnes ;
  • La responsabilisation des acteurs traitant des données à caractère personnel ;
  • Le renforcement de la coopération entre autorités de protection des données.

Depuis son entrée en vigueur, les organismes concernés sont tenus de procéder à une mise en conformité de leurs traitements de données à caractère personnel.

Lire aussi : Mise en conformité RGPD : par où commencer ?

Qui est concerné par le RGPD ?

Le RGPD concerne toute organisation traitant des données à caractère personnel dès lors :

  • Qu’elle est établie sur le territoire de l’Union Européenne ;
  • Ou que son activité cible des personnes résidant sur le territoire de l’UE.

Le RGPD peut ainsi concerner des organismes non ressortissants de l’UE.

Les organismes traitant des données à caractère personnel

Peu importe leur nature (entreprises, associations, organismes publics…), leur taille, leur activité ou leur chiffre d’affaires, tous les organismes qui traitent des données à caractère personnel de résidents européens doivent se conformer au RGPD.

Les sous-traitants de ces organismes

Les sous-traitants d’organisations établies au sein de l’Union Européenne ou traitant des données à caractère personnel de ressortissants de l’UE sont également concernés par le RGPD. Ils sont donc tenus responsables des traitements de données à caractère personnel qu’ils réalisent en tant que sous-traitant, au même titre que pour les traitements réalisés en tant que Responsable de traitement.

Cas particuliers

Certains traitements de données à caractère personnel ne sont pas soumis aux normes du RGPD. Il s’agit :

  • Des traitements réalisés dans le cadre d’activités mises en place pour la prévention d’infraction pénale ;
  • Des traitements réalisés à des fins strictement personnelles ;
  • Des traitements réalisés dans le cadre de la protection des libertés et droits fondamentaux.

Les organismes effectuant strictement ces traitements-là ne sont donc pas soumis aux obligations du RGPD.

Quelles sont les obligations instaurées par le RGPD ?

Les obligations du RGPD varient en fonction du volume, du niveau de sensibilité et de l’impact des données traitées par les organismes concernés.

Obligation n°1 : constituer un registre de traitement des données

La constitution d’un registre de traitement permet à l’organisme d’avoir une vision sur l’ensemble de ses traitements de données à caractère personnel. Pour être conforme, le responsable de traitement doit créer une fiche de traitement pour chaque activité recensée indiquant notamment :

  • L’objectif poursuivi lors de la collecte et de l’utilisation des données ;
  • La nature des données utilisées ;
  • Les personnes ayant accès aux données ;
  • La durée de conservation des données.

Constituer un registre de traitement est une obligation pour tous les organismes de plus de 250 salariés, quelle que soit la nature des données traitées.

Une obligation allégée pour les organismes de moins de 250 salariés

La constitution d’un registre de traitements est également obligatoire pour les entités de moins de 250 salariés traitant des données à caractère personnel. Néanmoins, cette obligation est allégée. Les organisations concernées doivent ainsi uniquement recenser les traitements :

  • Non occasionnels ;
  • Susceptibles de comporter un risque pour les droits et libertés des personnes ;
  • Portant sur des données sensibles (données de santé, infractions…).

Une obligation supplémentaire en cas de sous-traitance

Les organismes à la fois responsables de traitement de données à caractère personnel et agissant en tant que sous-traitants sont tenus de recenser les deux activités. L’idéal est de tenir deux registres : l’un pour les traitements de données à caractère personnel dont l’organisation est elle-même responsable ; l’autre pour les traitements de données à caractère personnel qu’elle effectue pour le compte de ses clients.

Obligation n°2 : trier les données

Selon le principe de minimisation des données, les organismes concernés par le RGPD sont tenus de se limiter à la collecte de données remplissant les conditions suivantes :

  • Les données collectées sont nécessaires à l’activité de l’organisme ;
  • Les données traitées ne sont pas sensibles ;
  • Les données ne sont accessibles que par les personnes habilitées ;
  • Les données ne doivent pas être conservées au-delà de la durée nécessaire.

Obligation n°3 : respecter les droits des personnes

Troisième obligation, celle de mettre en place les mesures nécessaires pour faire respecter les droits des personnes vis-à-vis de leurs données. Ainsi, les organismes concernés par le RGPD doivent garantir un certain nombre de droits aux personnes dont ils traitent les données à caractère personnel :

  • Le droit d’accès ;
  • Le droit de rectification ;
  • Le droit d’opposition ;
  • Le droit à la limitation du traitement ;
  • Le droit à la portabilité.

Point d’attention : les organismes doivent également s’assurer que le traitement des données est licite, c’est à dire qu’il repose sur l’un des fondements juridiques suivants :

  • Le consentement des personnes ;
  • Le contrat ;
  • L’obligation légale ;
  • La sauvegarde des intérêts vitaux ;
  • L’intérêt public ;
  • Les intérêts légitimes.

Obligation n°4 : garantir la sécurité des données

Les organismes doivent assurer la sécurisation des données à caractère personnel afin de les protéger contre tout incident, comme d’éventuelles fuites ou piratages.

Lire aussi : Sécurité des systèmes d’informations : 10 bonnes pratiques à appliquer

Bon à savoir : Lorsqu’un organisme subit une violation de données, et que celle-ci peut présenter un risque pour les droits et libertés des personnes concernées, il a pour obligation de signaler cette violation à la CNIL dans les 72h.

contact-netsystem

Des sanctions en cas de non-respect des obligations

En cas de non-respect des obligations édictées par le RGPD, les organismes s’exposent à :

  • Des sanctions pénales : pouvant aller jusqu’à 5 ans d’emprisonnement et 3000 000 euros d’amende.
  • Des sanctions pécuniaires : dont le montant peut atteindre jusqu’à 20 millions d’euros ou pour une entreprise jusqu’à 4% de son chiffre d’affaires annuel mondial.
  • Des sanctions administratives : qui peuvent se traduire par une mise en demeure de l’organisme et/ou une suspension temporaire du traitement des données.
  • Des sanctions additionnelles : telles que le versement de dommages-intérêts à des personnes dont les droits n’ont pas été respectés.

Pour éviter ces sanctions et assurer leur mise en conformité, les organismes concernés par le RGPD ont la possibilité de se faire accompagner par des experts. Spécialisé dans la protection des données à caractère personnel, Dposystem by Netsystem vous aide dans votre démarche de mise en conformité RGPD et assure la mise en place et le maintien en continu de votre conformité. De l’audit de votre activité à la formation de votre équipe, nous vous accompagnons sur l’ensemble du processus grâce à notre approche à la fois technique et juridique. Vous souhaitez en savoir plus ? Contactez-nous !