RGPD

Rgpd

Le Réglement Général sur la Protection des Données (RGPD) en résumé

Depuis le 25 mai 2018, le RGPD a pour but de protéger les données des individus au sein de l'union européenne.

Il s'applique à toute organisation qui traite des données à caractère personnel.

Teste de référence: Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

RGPD (source CNIL) (lien vers le règlement intégral)

Qu'est ce qu'une donnée personnelle ?

Toute information, identifiant directement ou indirectement une personne physique.

Quelques exemples de données:

-Nom, n° d’immatriculation, n° de téléphone, n° de SS, date de naissance, commune de résidence....

ou l'ensemble des informations permettant de discriminer une personne au sein d’une population tels que:

-donnée physique, physiologique, génétique, psychique, économique, culturelle, sociale, sa profession,son sexe, son âge…

Vitale2

Qu'est ce qu'un traitement ?

La collecte, l'enregistrement, le classement, la conservation, l'extraction, le rapprochement, la destruction, la consultation, la transmission ou toute autre forme de mise à disposition sont des exemples de traitement.

Attention: Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papiers sont également concernés et doivent être protégés dans les mêmes conditions.

Qui est concerné ?

Le RGPD s’applique à toute organisation (entreprise, association, collectivité, publique et privée) qui traite des données personnelles.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

 

Concrètement la grande majorité des organisations est concernée, puisqu'elles collectent des données de ses salariés ou adhérents (n° de SS, RIB, coordonnées...) et/ou de ses clients (fichiers clients, coordonnées...)

Cabinets comptables : comment démontrer votre conformité au RGPD ?

Que devez vous faire ?

Voici quelques étapes résumées ci-dessous:

  • Etablir un registre de traitement:

-Cartographier  les activités nécessitant la collecte et le traitement de données.

-Préciser pour chaque activité (Les acteurs, les catégories de données, le descriptif du risque, le but, les flux, les mesures de sécurité etc...)

-Identifier et prioriser les actions à mener.

  • Documenter, informer, définir les rôles et établir les procédures
  • Trier les données collectées et stockées
  • Respecter le droit des personnes
  • Protéger les données
  • Prévenir la CNIL dès qu'il y a une perte de données avérée ou supposée.
  • ...

 

Les risques en cas de non-conformité

Les amendes administratives peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2%  à 4% du CA annuel mondial, le montant le plus élevé étant retenu.

Par ailleurs, les autorités de contrôle (en France, la CNIL) peuvent notamment :
• Prononcer un avertissement ;
• Mettre en demeure l’entreprise ;
• Limiter temporairement ou définitivement un traitement ;
• Suspendre les flux de données ;
• Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
• Ordonner la rectification, la limitation ou l’effacement des données.

 

Au-delà de la sanction financière, une non-conformité peut nuire gravement à votre image. Car vous êtes dans l’obligation de prévenir tous vos clients, en cas de plainte et/ou de perte de données.

 

Cnil

Nous pouvons vous aider

  • Réalisation du registre de traitement.
  • Evaluation du risque
  • Elaboration du plan d'actions
  • ...

Notre process issu de notre expérience dans l'évaluation des risques est particulièrement adapté au PME/TPE.