FFC
Français
English

Familiers du RGPD ?

17 Mai 2018

A quelques jours de l’entrée en application du Règlement Général sur la Protection des Données (RGPD), les professionnels doivent s'inscrire dans un nouveau cadre juridique quant à la gestion des données personnelles de leurs clients.

A partir du 25 mai 2018, les entreprises qui utilisent des données clients doivent se conformer au RGPD, créé pour "redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises".
En pratique, le RGPD impose des mesures incontournables, dont les principales touchent au "consentement explicite et positif" des intéressés. Ce qui signifie que le professionnel doit s'assurer qu'un accord de diffusion des données ait été obtenu de façon claire et non par défaut, avant d'utiliser les données de ses clients, par exemple.
Apparaît également le "droit à l’effacement", qui remplace le précédent "droit à l’oubli". Il s'agit de permettre à toute personne qui en fait la demande de voir ses données personnelles ou sensibles purement effacées des fichiers chez un professionnel, sachant que la purge des fichiers doit être exécutée "dans les meilleurs délais".
En cas de fuite, vol ou violation de données, le détenteur de données personnelles doit également avertir, dans un délai maximal de 72 heures, l’autorité nationale de protection (la CNIL, en France). Une mesure qui ne s’applique pas s’il est établi que les données sont chiffrées, réputées inviolables, et ne touche pas les organisations de moins de 250 salariés. Enfin, le RGPD stipule que tout traitement ou activité traitant de données à caractère personnel doit être précédé d’une "étude d’impact sur la vie privée", qui prévoit des mesures préventives de protection de ces données.
Il convient également de retenir qu'en cas d’infraction, la CNIL pourra infliger des sanctions allant jusqu’à 2 % du chiffre d’affaires mondial ou 10 millions d’euros maximum pour non-conformité et des amendes pouvant aller jusqu’à 4% du chiffre d’affaires ou 20 millions d’euros pour violation des droits sur les données de personnes physiques.