Open/Close Menu hurricane florence

RGPD : Pourquoi la plupart des societes doivent-elles se mettre en conformite avec le RGPD, service qu’offre le cabinet BKP & Associes ?

# Le Département Commercial du Cabinet B.K.P. & ASSOCIES met en conformité ses Clients avec le Règlement Général sur la Protection des Données (R.G.P.D.) adopté par l’Union Européenne le 14 Avril 2016.

# Le R.G.P.D. s’applique quelle que soit la taille de l’Entreprise, que les interlocuteurs soient des Entreprises privées ou des Organismes Publics en B2B ou en B2C, et quel que soit le chiffre d’affaires annuel.

Le Règlement s’applique également aux sous-traitants de toute Entreprise établie au sein de l’Union Européenne, même si ces sous-traitants ne sont pas situés sur le territoire Européen.

En effet, le R.G.P.D. prévoit un principe de co-responsabilité entre l’Entreprise et ses sous- traitants pour les données remises par l’Entreprise à ses prestataires.

# Contrairement à une idée largement répandue, le R.G.P.D. ne concerne absolument pas les seuls grands Groupes, mais quasiment toutes les Sociétés, puisque toutes les Entreprises établies sur le territoire de l’Union Européenne et qui stockent des données personnelles, sont concernées.

On peut parler de traitement de données à caractère personnel dès lors qu’il y a stockage des données par une Entreprise.

Il n’est pas nécessaire d’utiliser les données dans l’activité de l’Entreprise.

Dès qu’il y a stockage, le R.G.P.D. s’applique à l’Entreprise, qu’importe la forme de stockage.

Il en va ainsi d’un tableau Excel, d’une base de données, la réception de candidatures…

Peu importe que la collecte des données ne soit pas l’activité principale ou qu’elle soit effectuée pour le compte d’une autre Entreprise.

# La plupart des Entreprises traitent nécessairement des données à caractère personnel puisque celles-ci correspondent à :

« Toute information se rapportant à une personne physique identifiée ou identifiable.

Il peut s’agir par exemple du nom, du prénom, d’une adresse postale ou d’une adresse électronique, d’une adresse IP, d’une photo, d’un numéro de carte d’identité, ou encore, d’informations bancaires ».

L’objectif bien compris du Règlement est la protection de la vie privée des Citoyens.

# Attention : la notion de données personnelles est à comprendre de façon très large.

La CNIL en donne un exemple : une base marketing contenant de nombreuses informations précises sur la localisation, l’âge, les goûts et les comportements d’achat de consommateurs, y compris si leur nom n’est pas stocké, est considérée comme un traitement de données personnelles, dès lors qu’il est possible de remonter à une personne physique déterminée en se basant sur ces informations.

# Dès lors que votre Société traite bien de telles données, il est absolument indispensable de vous mettre en conformité et pour ce faire, de prendre attache avec un Professionnel.

Le Cabinet B.K.P. & ASSOCIES a mis en place des stratégies de déploiements adaptées à la taille de l’Entreprise, des forfaits financiers, des formations pour le Personnel… de telle sorte que tout à chacun puisse être parfaitement en conformité et être couvert en cas de contrôle de la CNIL.

# En s’abstenant jusqu’ici de sanctionner le non-respect des obligations nouvelles du R.G.P.D., et en focalisant son action répressive sur les obligations s’inscrivant dans la continuité de la Loi du 6 Janvier 1978, la CNIL souhaitait permettre aux responsables de traitement de comprendre et d’assimiler progressivement les exigences du R.G.P.D. adopté en 2016.

Désormais, elle vérifiera pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations…) et tirera au besoin toutes les conséquences en cas de constatation de manquements.

Pour 2020, sa politique de contrôle sera principalement orientée sur les questions relatives au respect des droits des personnes, le traitement de données de mineurs, et la répartition des responsabilités entre responsables de traitement et sous-traitants.

# En amont, la CNIL s’est engagée à accélérer l’élaboration de nouveaux cadres de référence sous la forme de référentiels (gestion des ressources humaines, gestion de la relation clients, gestion des impayés, alertes professionnelles), règlements types ou listes de traitements non soumis à une analyse d’impact obligatoire afin d’accompagner les professionnels dans leur programme de mise en conformité.

Voici quelques exemples de référentiels adoptés par la CNIL au cours des derniers mois :

  • ➢  projet de référentiel de la CNIL relatif aux traitements de données à caractère personnel mis en œuvre par les Organismes privés ou publics aux fins de gestion du Personnel (Avril 2019),
  • ➢  projet de référentiel de la CNIL relatif aux traitements de gestion des activités commerciales (Novembre 2018),
  • ➢  projet de référentiel de la CNIL relatif aux traitements d’impayés (Novembre 2018),
  • ➢  projet de référentiels de la CNIL relatif aux traitements de gestion des alertesprofessionnelles (Avril 2019),
  • ➢  règlement type de la CNIL sur les traitements biométriques (Mars 2019).

Les sanctions les plus récentes prononcées par la CNIL sont les suivantes :

➢ Délibération du 28 Mai 2019 prononçant une sanction pécuniaire de 400 000 € à l’encontre de la Société SERGIC,

➢ Délibération du 19 Décembre 2018 prononçant une sanction pécuniaire de 400 000 € à l’encontre de la Société UBER FRANCE SAS.

# Même les plus petites Entreprises doivent disposer d’un registre des activités de traitements.

Le registre des traitements doit permettre d’identifier précisément les parties prenantes qui interviennent dans le traitement des données, les catégories de données traitées, et à quoi elles servent, qui y accède, et à qui elles sont communiquées, combien de temps elles sont conservées et comment elles sont sécurisées.

En conclusion : il convient que chaque Société se pose la question de cette mise en œuvre du R.G.P.D., sachant qu’au-delà de cet objectif de conformité, la mise en œuvre du R.G.P.D. doit permettre à l’Entreprise d’organiser la valorisation des données de l’Entreprise au service de son développement.

Il est bien évident que pour les TPE et les PME pour lesquelles les données personnelles ne sont pas au cœur de l’activité, celles-ci n’auront qu’à déployer des moyens limités.

En effet, l’unique critère à prendre en compte est le volume ou la sensibilité des données traitées.

La mise en conformité doit représenter pour la Société non seulement un projet technique et juridique, mais également l’opportunité de profiter de cette première étape pour sécuriser et protéger l’ensemble des données, et dans une deuxième étape, pour accélérer sa transformation digitale.

La sécurisation accrue des données détenues par les Entreprises renforce la confiance tant des Fournisseurs que des Clients. Pas supplémentaire vers la digitalisation, cette nouvelle Règlementation constitue également un levier d’amélioration de la gestion de l’Entreprise et son efficacité commerciale. Par ailleurs, en introduisant de nouveaux concepts, le R.G.P.D. peut se traduire par la création de services et d’axes de développements nouveaux pour l’Entreprise. En ce sens, il peut constituer un projet d’Entreprise et être créateur de valeurs.

Virginie KOERFER BOULAN

CategoryRGPD
© BKP AVOCATS 2019 - DESIGNED AND POWERED BY
TAO / SENSE
- MENTIONS LEGALES / LEGAL NOTICE