L’entrée en vigueur du Règlement Général sur la Protection des Données a suscité de nombreuses réactions chez les chefs des entreprises. Si certains dirigeants voient ce texte d’un bon œil, d’autres le considèrent comme une contrainte. À ce titre, quelques établissements n’ont pas encore entamé les opérations de mise en conformité. Pourtant, de lourdes sanctions pèsent sur ces structures.
Aperçu sur les sanctions prévues en cas de non-conformité avec le RGPD
Le nouveau règlement s’applique dans l’intégralité du territoire européen. Il soumet les entreprises disposant d’un système informatique à un certain nombre d’obligations. En substance, il s’agit principalement de protéger les données personnelles conservées par l’établissement. Cela passe notamment par la mise en place d’un registre de traitement et la demande de consentement avant toute collecte de données.
En France, la Commission Nationale de l’Informatique et des Libertés « CNIL » veille à l’application du RGPD. Cette entité passe régulièrement en revue la plateforme des sociétés présentes sur internet. À cette occasion, les responsables s’assurent que l’enseigne respecte les droits des internautes que ce soit à travers la récolte des cookies ou encore les conditions générales d’utilisation.
En cas d’infraction, la CNIL enverra une lettre de mise en demeure. Celle-ci informe le chef d’entreprise sur les points de non-conformité. Ce document encourage également le dirigeant à régulariser la situation de son établissement dans les jours à venir. Au terme des délais convenus, les agents s’assureront que la structure a corrigé les éléments présentés plus haut. En cas contraire, les autorités compétentes prononceront les sanctions.
Dans la majorité des cas, la Commission réclamera le paiement d’une amende. Ce montant ne peut excéder 3 % du chiffre d’affaires de l’enseigne. Si la compagnie a fait l’objet d’une plainte et que les faits reprochés sont avérés, la CNIL peut exiger une cessation temporaire des activités. L’entreprise doit alors prouver sa conformité pour reprendre ses activités.
Les mesures à prendre pour éviter les sanctions
Les établissements soumis au RGPD doivent gérer les processus de protection des données de manière plus rigoureuse. Heureusement, les entreprises concernées doivent simplement se référer aux dispositions prévues par ce texte. Pour mener à bien une mise en conformité, le dirigeant doit absolument faire appel à un Data Protection Officer « DPO ». Ce dernier sera en mesure d’identifier les risques et de procéder à un audit. Les résultats de ce diagnostic préparatoire livreront des indices sur les opérations à réaliser pour sécuriser les systèmes informatiques. Hormis les tâches à effectuer pour améliorer la sécurité des infrastructures, on mettra aussi en place un registre de traitement. Cet élément sera indispensable pour surveiller les processus en cours et respecter la volonté des particuliers sur leurs données. On se dotera également d’un logiciel RGPD pour faciliter la tenue du registre par le DPO. Chez les entreprises traitant une grande quantité de données, la présence continuelle d’un DPO est en effet requise pour se prémunir contre les fuites de données. Heureusement, il existe aujourd’hui des solutions mutualisées pour profiter de l’expertise de ce professionnel. En optant pour cette alternative, on parviendra à se conformer au RGPD tout en faisant des économies.
