Categories
RGPD

STOP, ne paniquez pas ! Si vous pensez que le RGPD est compliqué ou ennuyeux, je vais vous prouver le contraire dans cet article. 

Que vous soyez solo-preneur, free-lance, indépendant, PME, ou que vous travaillez pour une grande entreprise, le RGPD s’impose à vous. 

Je vous rassure, vous n’aurez pas à acheter le livre : “RGPD pour les nuls” car à travers cet article, nous allons vous accompagner dans la mise en place de votre conformité en matière des droits RGPD.

Ce que ce texte va vous apporter :

  • Maitriser toutes les obligations en tant qu’agence.
  • Vous saurez comment mettre votre site web en conformité.
  • Respecter le RGPD dans vos campagnes d’email marketing.
  • Définir correctement le RGPD pour les annonceurs.
  • Les avantages et les opportunités pour les entrepreneurs ?

Et pour clôturer, nous allons découvrir une étude de cas !

Mais commençons par les bases et voyons ensemble quelques notions.

Qu'est-ce que le RGPD ? Définition et principes du RGPD

Commençons par découvrir ce qu’est la conformité RGPD (GDPR compliance en anglais).

Que veut dire RGPD ? 

RGPD est l’initiale de Règlement Général pour la Protection des Données entrée en vigueur le 24 mai 2016 et il s’applique depuis le 25 mai 2018. (En savoir)

Cela peut faire peur au premier abord, mais il s’agit simplement de réglementée la manière dont les entreprises sont autorisés à traiter les données personnelles des citoyens de l’espace économique européen.

Voyons cela pas à pas…..

C’est quoi la loi RGPD ?

Le RGPD est une loi visant à protéger les données personnelles des utilisateurs.

Ce règlement établi les règles sur la collecte et l’utilisation des données personnelles sur le territoire européen.

Est-ce que la RGPD est obligatoire ?

Oui, toutes les entreprises sont soumises au Règlement européen sur la protection des données. S’ils collectent, stockent, utilisent des données personnelles.

Quand le RGPD n’est pas obligatoire et quand il ne s’applique pas ?

  • Le traitement des données personnelles est effectué exclusivement par des personnes physiques pour des activités personnelles ou domestiques.
  • Le traitement des données à caractère personnel est effectué par les autorités compétentes dans le cadre de leurs missions de service public.
  • Le traitement des données personnelles est purement à des fins journalistiques, artistiques, littéraires ou académiques, à condition qu’il ne compromette pas la protection des données personnelles.
  • Le traitement des données personnelles est à des fins de recherche scientifique ou de recherche historique, à condition qu’il ne compromette pas la protection des données personnelles.
  • Le traitement de données personnelles ne s’applique pas aux personnes décédées et aux personnes morales.

Cependant, dans tous les cas, il est recommandé de respecter les principes de protection des données personnelles afin de préserver la vie privée et la sécurité des personnes concernées.

Qui a l’obligation de respecter le RGPD ?

Le RGPD (Règlement général sur la protection des données) s’applique à toutes les organisations publiques et privées qui traitent des données personnelles, que ce soit pour leur propre compte ou non, à condition qu’elles soient établies sur le territoire de l’UE ou que leurs activités soient dirigées vers des résidents européens. 

Cela signifie que même les organisations non européennes sont tenues de respecter le RGPD si elles traitent des données personnelles de personnes se trouvant sur le territoire de l’UE.

Qui protège le RGPD ?

Le RGPD est protégé et appliqué par les autorités de protection des données de chaque État membre de l’Union Européenne. 

En France, l’autorité de protection des données est la Commission nationale de l’informatique et des libertés (CNIL), et en Belgique, elle est représentée par l’Autorité de protection des données (APD) et la Commission de la protection de la vie privée.

Ces autorités sont chargées de veiller à ce que les organisations respectent les règles du RGPD en matière de protection des données personnelles.

Qui vérifie le RGPD ?

Chaque pays possède son organisme de contrôle :

En Belgique, l’APD (Autorité de Protection des Données) dirigé par l’inspecteur général, Peter Van Den Eynde.

En France, la CNIL (Commission Nationale de l’Informatique et des Libertés) dirigé par Marie-Laure Denis.

Ce dernier a le droit d’effectuer des inspections contre tous les responsables de données. Ils peuvent avoir lieu sur place ou en ligne.

Comment appliquer la loi RGPD ?

Pour appliquer la loi RGPD, les organisations doivent suivre les étapes suivantes :

Nommer un délégué à la protection des données (DPD) :

Il s’agit d’une personne chargée de superviser la conformité de l’organisation au RGPD et de garantir la protection des données personnelles.

Réaliser une analyse d'impact sur la protection des données (AIPD) :

Il s’agit d’une évaluation des risques liés au traitement des données personnelles pour identifier les mesures de protection appropriées.

Obtenir le consentement des personnes concernées :

Les organisations doivent obtenir le consentement explicite et informé des personnes concernées pour collecter, traiter et stocker leurs données personnelles.

Garantir les droits des personnes concernées :

Les personnes concernées ont le droit de demander l’accès, la rectification, la suppression ou la portabilité de leurs données personnelles.

Protéger les données personnelles :

Les organisations doivent mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la perte, le vol, l’utilisation abusive ou l’accès non autorisé.

Respecter les obligations de notification de violation de données :

Les organisations doivent notifier les autorités compétentes et les personnes concernées en cas de violation de données personnelles.

Former le personnel :

Les organisations doivent former leur personnel sur les principes du RGPD et sur les mesures de protection des données personnelles.

RGPD et les données personnelles

Quelles sont les données personnelles à protéger ?

Le RGPD, considère données personnelles, toute information capable de rendre une personne physique, identifiée et/ou identifiable. 

Un e-mail contenant le nom et le prénom d’une personne sera considéré une donnée personnelle.

Voici quelques exemples de données personnelles :

  • Prénom,
  • Nom, 
  • Adresse personnelle, 
  • Adresse e-mail, contenant le nom et le prénom d’une personne 
  • (exemple : nom.prénom@nom-de-la-société.com).
  • Numéro de téléphone.
  • Carte d’identité.
  • Adresse IP (permettant de localiser la personne).
  • Cookies

Toutes les données qui permettent d’identifier ou de rendre identifiable une personne.

Pour en savoir plus, vous pouvez consulter Article 4 RGPD

Qu'est-ce qui n'est pas une donnée personnelle ?

Les données qui ne sont pas considérées comme des données personnelles sont par exemple :

  • Un numéro de TVA.
  • Un numéro d’entreprise.
  • Une adresse e-mail de contacts (exemple : contact@nom-de-la-société.com). 
  • Les données anonymisées.
  • Toute information qui ne comporte pas de donnée personnelle et qui permettrait d’identifier une personne.

Quelles sont les interdictions en matière de collecte de données personnelles ?

Le RGPD considère certaines données comme données personnelles spéciales et les classes, comme données personnelles sensibles.

Il est strictement interdit de traiter des données personnelles sensibles qui feraient apparaître directement ou indirectement une des données personnelles ci-dessous :

  • Données génétiques 
  • Données biométriques
  • Origine ethnique
  • Origine raciale
  • Convictions religieuses
  • Convictions philosophiques,
  • Opinions politiques,
  • Appartenance syndicale,
  • Orientation sexuelle,
  • Donnée de santé,
  • Numéro de sécurité sociale,
  • Données industrielles,

Pour en savoir plus, vous pouvez consulter Article 9 RGPD

Comment traiter les données personnelles sensibles ?

Le RGPD est clair ! 

Il est formellement interdit de collecter, d’utiliser ou de conserver des données personnelles sensibles, que ce soit de manière temporaire ou prolonger. Respecter cette règle !

Les données sensibles peuvent être utilisées dans certains cas :

  • Adhérent d’une organisation politique, religieuse ou syndicale,
  • Utilisation d’intérêt public autorisé par la CNIL (où l’organisme de votre état),
  • Utilisation d’intérêt médical (données qui permettent de sauvegarder la vie humaine),
  • Information rendue publique par la personne concernée.
  • La personne concernée qui donne son consentement par écrit de manière éclairée, libre et informé.

Quels sont les 4 objectifs principaux du RGPD ?

Le RGPD renforce véritablement les droits des citoyens.

Le RGPD donne aux citoyens un contrôle plus fort sur leurs données personnelles, en leur permettant de donner leur consentement éclairé à la collecte, au traitement et au stockage de leurs données.

Les citoyens ont également le droit de demander l’accès, la rectification, la suppression ou la portabilité de leurs données personnelles.

Protège les utilisateurs vulnérables.

Le RGPD (Règlement général sur la protection des données) inclut des dispositions pour protéger les utilisateurs vulnérables, tels que les enfants, les personnes âgées et les personnes handicapées.

En ce qui concerne les enfants, le RGPD exige que le consentement parental soit obtenu avant de collecter, de traiter ou de stocker leurs données personnelles.

Les organisations doivent par ailleurs prendre des mesures pour s’assurer que les enfants comprennent clairement les conditions d’utilisation des services en ligne.

En résumé, le RGPD inclut des dispositions pour protéger les utilisateurs vulnérables en garantissant le consentement parental pour les enfants et en prenant en compte les besoins spécifiques des personnes âgées et des personnes handicapées en matière de protection des données personnelles.

Protéger la vie privée des citoyens de l’espace économique européenne.

Non, seulement protéger les données privées de nos citoyens, mais également uniformiser la réglementation sur la protection des données dans l’espace économique européen.

Les pays compatibles RGPD sont les pays de l’espace économique européen (EEE, ou EEA en anglais), et non pas des pays de la communauté européenne.

Ce qui veut dire que 30 pays sont concernés par le RGPD, et non pas les uniquement les 27 pays de l’UE (Union européenne). L’Islande, la Norvège et le Liechtenstein viendrons donc s’ajouter aux 27 États membres de l’UE.

Responsabiliser les Directions (les entreprises, intermédiaire et sous-traitant)

Le RGPD (Règlement général sur la protection des données) responsabilise les directions des entreprises, des intermédiaires et des sous-traitants en matière de protection des données personnelles en les obligeant à respecter les principes suivants :

 

  • Transparence : Les directions doivent informer clairement les personnes concernées de la manière dont leurs données personnelles sont collectées, traitées et stockées, ainsi que des finalités de leur utilisation.
  • Consentement éclairé : Les directions doivent obtenir le consentement éclairé des personnes concernées pour la collecte, le traitement et le stockage de leurs données personnelles.
  • Sécurité des données : Les directions doivent mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données personnelles.
  • Responsabilité : Les directions doivent nommer un délégué à la protection des données (DPD) et s’assurer que les employés qui traitent des données personnelles ont reçu une formation adéquate sur les principes de protection des données et les mesures de sécurité.
  • Notification des violations de données : Les directions sont responsables de notifier les autorités compétentes et les personnes concernées en cas de violation de données personnelles.
  • Les intermédiaires et les sous-traitants sont également soumis aux mêmes obligations que les entreprises en matière de protection des données personnelles. Ils sont responsables de respecter les principes énoncés ci-dessus et doivent coopérer avec les entreprises pour garantir la protection des données personnelles.
 

En résumé, le RGPD responsabilise les directions des entreprises, des intermédiaires et des sous-traitants en matière de protection des données personnelles en les obligeant à respecter les principes de transparence, de consentement éclairé, de sécurité des données, de responsabilité et de notification des violations de données.

Quelles sont les 4 actions à mener pour être en conformité avec le RGPD ?

Respecter le consentement des personnes

Selon le RGPD, le consentement doit être donné de manière libre, spécifique, éclairée et univoque, il doit répondre aux demandes des personnes concernées. 

Cela signifie que les personnes doivent être pleinement informées de la manière dont leurs données personnelles seront utilisées et qu’elles doivent avoir la possibilité de donner leur consentement de manière volontaire, sans être soumises à des pressions ou à des conditions inutiles.

Le consentement doit être obtenu avant de collecter, traiter ou transférer des données personnelles.

Les responsables du traitement des données doivent fournir des informations claires et compréhensibles sur les finalités du traitement, les catégories de données collectées, les destinataires des données et la durée de conservation. Les individus doivent également être informés de leur droit de retirer leur consentement à tout moment.

Respecter un consentement révisable

Le RGPD reconnaît que le consentement peut être révocable à tout moment par la personne concernée. Cela signifie que les individus ont le droit de modifier ou de retirer leur consentement à tout moment, sans subir de conséquences négatives.

Pour respecter un consentement révisable, les organisations doivent mettre en place des mécanismes permettant aux personnes concernées de facilement exercer leur droit de retirer leur consentement. Ces mécanismes doivent être simples, accessibles et clairement expliqués aux individus.

En quelques mots, redonner aux citoyens le contrôle de leurs données personnelles.

Fixer des durées de conservation.

Lorsqu’une organisation collecte et traite des données personnelles, elle doit déterminer la période pendant laquelle les données seront conservées.

Cette durée de conservation doit être définie en fonction des finalités spécifiques du traitement et doit respecter les principes de minimisation des données et de limitation de la conservation.

Pour fixer des durées de conservation conformes au RGPD, les organisations doivent prendre en compte plusieurs facteurs, tels que : les finalités du traitement, les obligations légales, les besoins opérationnels et les droits des individus.

Appliquer le principe de minimisation.

Le principe de minimisation, tel que stipulé par le RGPD, signifie que les organisations doivent limiter la collecte, le traitement et la conservation des données personnelles aux seules informations nécessaires pour atteindre les finalités spécifiques du traitement.

Quelles sont les enjeux et opportunités du RGPD ?

Générez de la confiance envers vos prospects et clients.

Le RGPD offre une opportunité précieuse aux entreprises de générer de la confiance envers leurs prospects et clients.

En respectant les principes et les obligations du RGPD, les organisations démontrent leur engagement envers la protection des données personnelles et renforcent ainsi la confiance des individus dans leurs pratiques.

Restaurer la confiance de vos consommateurs.

En se conformant aux obligations et aux principes du RGPD, les organisations peuvent démontrer leur engagement envers la protection des données personnelles et restaurer ou renforcer la confiance de leurs consommateurs.

Compter sur des fournisseurs responsables.

Le RGPD encourage les entreprises à compter sur des fournisseurs responsables en matière de protection des données personnelles.

Lorsque vous travaillez avec des fournisseurs, il est essentiel de vous assurer qu’ils respectent également les principes et les obligations du RGPD pour garantir la sécurité et la confidentialité des données personnelles.

Vérifier que votre fournisseur est certifié ISO 27001, qu’il a accompli toutes les étapes nécessaires pour assurer sa conformité au RGPD.

Améliorer l’image de marque de votre société.

Le RGPD offre une opportunité précieuse aux entreprises d’améliorer l’image de marque de leur société en démontrant leur engagement envers la protection des données personnelles.

En respectant les principes et les obligations du RGPD, vous renforcez la confiance, car des consommateurs et des parties prenantes, ce qui peut avoir un impact positif sur votre image de marque et un positionnement renforcé.

Se préparer à éviter la fuite de données.

En adoptant une approche proactive pour éviter la fuite de données et en mettant en place des mesures appropriées, vous pouvez réduire considérablement les risques de violations de données et protéger les informations personnelles de vos clients conformément au RGPD.

Une fuite de données ternie considérablement l’image de votre entreprise, sans parler des risques financiers, à laquelle cette dernière s’expose, ainsi le RGPD est une opportunité pour réduire le risque tout en étant en conformité.

Mettre son site web en conformité.

S’assurer que votre site web est conforme au RGPD est une étape essentielle, un site web est la vitrine de votre agence ou de votre entreprise.

Généralement, en cas de réclamation, l’organisme de contrôle de votre pays procède d’abord à un contrôle à distance pour vérifier que le site est conforme au RGPD, ce qui peut donner un avant gout de la conformité globale de votre agence.

Un site mal régulé au regard du RGPD est une indication que l’organisation est défaillante à cet égard.

Quand mettre son site internet en conformité ?

Il est recommandé de mettre son site internet en conformité avec le RGPD dès que vous collectez, utilisez ou traitez des données personnelles. 

Si votre site internet collecte des informations telles que des adresses e-mail, des noms, des numéros de téléphone ou toute autre donnée qui peut être utilisée pour identifier une personne, il est probablement nécessaire de se conformer au RGPD.

Il est important de noter que chaque site internet est unique et les exigences spécifiques de conformité peuvent varier en fonction de vos activités de collecte et de traitement des données. Il est recommandé de consulter un expert juridique ou un professionnel spécialisé en protection des données pour vous assurer que votre site internet est en pleine conformité avec le RGPD.

Comment mettre son site en conformité : les 4 étapes à suivre

Étape 1 : Inventorier vos traitements de données

Audit des données personnelles

Effectuez un audit approfondi de toutes les données personnelles collectées et traitées sur votre site internet. Identifiez les types de données collectées, la finalité de leur collecte, les tiers avec lesquels vous partagez ces données et les durées de conservation associées. 


ATTENTION : en campagne de marketing digital, la collecte des données (tracking en anglais) peut prendre différentes formes, au travers d’une URL UTM, du pixel Facebook, par Google Analytics et autres traceurs, popup et cookies. N’oubliez pas d’en tenir compte durant votre audit.

Fiche RGPD (registre de traitements des données)

Si une entreprise compte moins de 250 employés, elle a toujours la responsabilité de protéger les données sensibles, telles que les informations de santé, ou les données portant atteinte aux droits et libertés des personnes qu’elle concerne, comme un système de vidéosurveillance, ou les informations sur les infractions pénales et les condamnations. 

Pour en savoir plus, vous pouvez consulter Article 30 RGPD et Article 28 RGPD

RGPD Texte de conformité

Étape 2 : Mesures de conformité : Principes et droits relatifs

Mise en place de mesures de conformité

Une fois que vous avez identifié les données personnelles collectées, mettez en place les mesures nécessaires pour garantir la conformité au RGPD. 

Rédigez une politique de confidentialité claire et transparente qui explique comment vous collectez, utilisez, stockez et partagez les données personnelles. Assurez-vous qu’elle est facilement accessible sur votre site internet.

Le consentement

Obtenez un consentement valide et éclairé des utilisateurs avant de collecter ou d’utiliser leurs données personnelles.

Mettez en place des mécanismes pour recueillir et enregistrer ce consentement de manière traçable et utiliser un double opt-in pour obtenir des consentements vérifiés et facilité votre gestion des données.

Utilisé un texte clair et précis.

Offrez la possibilité de renouveler le consentement et également d’un possible retrait opt-out.

Licéité du traitement

Faites en sorte que le traitement soit licite, il doit respecter les obligations légales.

Pour en savoir plus, vous pouvez consulter Article 6 RGPD

Le droit à l’information

Ce droit consiste à informer l’utilisateur de la manière dont sont collectées les données, et dans quel but.

Pour en savoir plus, vous pouvez consulter Article 12 RGPD

Le droit d’accès

Ce droit consiste à informer l’utilisateur de quelles données sont collectées par votre entreprise.

Pour en savoir plus, vous pouvez consulter Article 15 RGPD

Le droit d’opposition

Ce droit consiste à s’opposer à la collecte de données personnelles, dans certains cas, la collecte peut être obligatoire (exemple : obligation légale). 

Pour en savoir plus, vous pouvez consulter Article 21 RGPD

Le droit de rectification

Ce droit offre la possibilité à l’utilisateur de modifier ses données personnelles transmise à l’entreprise.

Pour en savoir plus, vous pouvez consulter Article 16 RGPD

Le droit à l’oubli (droit à l’effacement)

L’utilisateur a le droit de demander la suppression de ses données personnelles et des sous-traitants 

Pour en savoir plus, vous pouvez consulter Article 17 RGPD

Le droit à portabilité

L’utilisateur a le droit de récupérer ses données personnelles sur un support lisible (ex : papier, PDF)

Pour en savoir plus, vous pouvez consulter Article 20 RGPD

 

Tenez compte aussi de l’âge du consentement, il varie entre 13 et 16 ans suivant le pays ! 

EXEMPLE :

En Belgique, il est établi à 13 ans et en France à 15 ans, chaque pays est libre d’établir l’âge du consentement.

 

Pour en savoir plus sur les conditions applicables au consentement des enfants, consulter Article 8 RGPD

Pour en savoir plus sur la collecte des données à caractère personnel, vous pouvez consulter Article 5 RGPD

Étape 3 : Le consentement spécifique aux cookies

Cookies et suivi en ligne

Les cookies sont plus que jamais strictement encadré par le RGPD. Si votre site utilise des cookies ou des technologies similaires pour le suivi en ligne, assurez-vous de respecter les exigences du RGPD en matière de consentement.

Informez les utilisateurs de l’utilisation des cookies et obtenez leur consentement préalablement, lorsque cela est requis. 

La nécessité d’obtenir le consentement de la personne concernée s’applique généralement aux cookies et autres outils semblables qui stockent des informations ou accèdent à des informations stockées sur l’appareil. La collecte d’informations sur un utilisateur est inconditionnelle, que ces informations soient personnelles ou non.

Cependant, il existe deux cas dans lesquels le dépôt de cookies n’est pas nécessaire avant le consentement :

  1. Dans les cas où un service explicitement demandé par l’internaute nécessite des cookies, par exemple mémoriser le panier d’un utilisateur ou assurer la sécurité d’une application bancaire, l’utilisation de cookies est indispensable.
  1. Dans les cas où la transmission d’un message par l’intermédiaire d’un réseau de communication électronique est indispensable, des cookies peuvent être nécessaires, notamment ceux permettant l’affichage crypté des informations vitales lors des échanges et des identifiants de transaction, ou ceux utilisés pour la répartition de charge et l’analyse des performances, à condition qu’ils soient analysés de manière anonyme.

Le terme « cookies fonctionnels » est utilisé pour décrire les deux types de cookies qui ne nécessitent pas de consentement.

Cookiebot (outil de gestion des cookies)

Cookiebot est un outil de gestion des cookies qui vous aide à vous conformer aux exigences de consentement en matière de cookies RGPD.

Il offre des fonctionnalités de balayage, de consentement et de gestion des préférences des utilisateurs en matière de cookies. (exemple texte cookies RGPD)

Étape 4 : Utiliser des mesures de sécurité adaptées

Sécurité des données

Mettez en place des mesures de sécurité appropriées pour protéger les données personnelles contre les accès non autorisés, les pertes ou les fuites. Soyez attentif à la conservation des données. Utiliser des prestataires en conformité (Responsable de traitement RGPD) et maintenez une base de données actualisée.

Il est important de noter que la « sécurité adaptée » signifie que les mesures que vous prenez doivent être proportionnelles aux risques présentés par vos activités de traitement de données.

Les organisations qui traitent des données à grande échelle ou qui traitent des catégories spéciales de données peuvent avoir besoin de prendre des mesures de sécurité plus étendues que celles qui traitent des données à une échelle plus petite ou moins sensible.

Gestion des violations de données

Établissez un plan clair pour gérer toute violation de données.

Cela devrait inclure la notification aux autorités compétentes et aux personnes concernées dans les 72 heures suivant la découverte de la violation.

Mesures techniques

Mettez en place des mesures techniques pour protéger les données.

Cela peut inclure le chiffrement (cryptage), les firewalls, les contrôles d’accès, les sauvegardes régulières et la mise à jour des logiciels et des systèmes.

Formation et sensibilisation

Sensibilisez votre personnel à la protection des données personnelles et aux exigences du RGPD.

Assurez-vous qu’ils comprennent les bonnes pratiques de confidentialité et de sécurité des données, ainsi que leur rôle dans la mise en conformité de votre site internet.

Responsable de la protection des données

Si nécessaire, nommez un responsable de la protection des données pour superviser la conformité avec le RGPD.

CONSEIL RGPD :

Toute collecte et traitement de données faites par vous-même ou par un sous-traitant, fais de vous le responsable.

Pour en savoir plus, vous pouvez consulter Article 32 RGPD

Utiliser des outils conformes

Il existe de nombreux outils disponibles sur le marché pour vous aider à vous conformer au RGPD. Voici quelques-uns des meilleurs outils pour vous aider dans votre démarche de conformité :

OneTrust (suite complète d'outils de conformité au RGPD)

OneTrust propose la gestion du consentement, la gestion des préférences des utilisateurs, la gestion des demandes d’exercice des droits, les évaluations de l’impact sur la protection des données PIA RGPD et la gestion des cookies.

TrustArc

TrustArc propose une plateforme de gestion de la confidentialité et de conformité au RGPD.

Elle comprend des fonctionnalités telles que la gestion du consentement, les évaluations de confidentialité, les registres de traitement des données et les outils de gestion des demandes des utilisateurs.

Osano

Osano fournit une plateforme de gestion de la confidentialité et de conformité au RGPD.

Elle propose des fonctionnalités telles que la gestion du consentement, la génération de politiques de confidentialité personnalisées, les évaluations de confidentialité et les outils de suivi des cookies.

Le droit RGPD et les sanctions

Quels sont les sanctions en cas de non-conformité ou d'absence de RGPD ?

Dans cette dernière section, on va survoler les différentes étapes auquel vous serez exposé en cas de contrôle. Sachez que le RGPD, de son caractère contraignant, prévoit des sanctions en cas de non-conformité ou d’absence de RGPD.

Quand et comment les inspections RGPD sont-elles effectuées ?

Les organismes de contrôle suivent un programme annuel dans lequel a été prédéfini la thématique du contrôle. Généralement, cette thématique est sélectionnée par l’impact qu’elle peut avoir sur la vie privée des personnes.

Les plus courantes sont les inspections dû à des signalements, réclamations ou plainte porté contre votre site. En premier, l’organisme de contrôle fera une première vérification à distance pour évaluer la conformité du RGPD.

Récapitulatif des sanctions infligées pour le non-respect du RGPD.

Dans un premier temps, vous aurez droit un avertissement et un rappel à l’ordre ! C’est le mieux qu’il puisse vous arrivez.

Dans un deuxième temps, vous serez astreint à vous mettre en conformité le plus rapidement possible.

À partir de ce moment, vous risquez de plus en plus gros, par exemple une limitation temporaire ou définitif du traitement de données ou vous voir ordonner l’effacement de données traitées. 

En dernier aura droit à l’amende administrative qui peuvent être très salée.

Les amendes administratives : montants et estimations

Après un ensemble d’inspection et de rappels à l’ordre, les organismes de contrôle tel que la CNIL où l’APD seront dans l’obligation de prononcer des sanctions dissuasives au travers d’amendes administratives plutôt élevées.

Pour estimer le montant de cette amende administrative, l’organisme de contrôle prendra en compte divers éléments : 

  • La durée de la violation, 
  • La gravité de la violation, 
  • Si la violation a été commise, délibérément ou par négligence.
  • Si des mauvaises mesures ont été prises par le sous-traitant ou par le responsable du traitement.
  • Si le niveau de coopération avec les autorités de contrôle a permis de corriger les points négatifs.

Et toute circonstance aggravante ou atténuante applicable.

Ces éléments permettront à l’organisme de contrôle d’établir s’il s’agit, d’une infraction simple ou aggravée. Il est donc difficile de donner un montant ou une estimation pour une quelconque infraction. 

À titre informatif, les amendes peuvent aller jusqu’à 4 % du CA (chiffre d’affaires) mondial ou un montant maximum de 20 millions d’euros, le plus grand montant des deux sera retenu accompagné d’une astreinte pour les jours de retard.

Si vous voulez en savoir plus, vous pouvez consulter Article 83 RGPD sur les conditions général pour imposer des amendes administratives et vous pouvez également consulter Article 84 RGPD sur les sanctions.

Ce qu'il faudra retenir de cet article RGPD !

Le RGPD protège les consommateurs et les données personnelles, mais pas que, il protège aussi votre entreprise. Le RGPD en 2023 et plus que jamais indispensable. Le témoignage de nos clients en est la preuve. Une attestation RGPD vous permet en cas de contrôle d’éviter ou de réduire la sanction.

En espérant vous aider au mieux, nous vous offrons une CHECKLIST RGPD à télécharger pour vous permettre de faire un rapide audit RGPD et d’évaluer si vous respectez le règlement général pour la protection des données. 

Si vous avez besoin d’aide, nous vous proposons d’organiser un appel stratégique 100% gratuit afin d’améliorer la conformité de votre site web.

Pour finir, si vous avez participé à notre atelier RGPD ou à une formation RGPD et souhaitez faire une certification de vos compétences, découvrez la liste des organismes agréés.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *