Les obligations rgpd et dpo pour les entreprises : une vue d’ensemble juridique

15/02/2023 Non Par Marion Jullian

Le RGPD a été mis en application depuis le 25 mai 2018. Il définit un nouveau cadre juridique principalement pour assurer la protection des données personnelles en Europe, mais aussi au-delà des frontières de l’Europe. Toute entreprise réalisant des traitements de données personnelles devra alors se soumettre aux nouvelles obligations imposées par le RGPD. Il convient de noter que des amendes très lourdes sont prévues en cas de non-respect de ces obligations. À travers, cette rubrique, découvrez les principales obligations issues du RGPD.

Le RGPD, qu’est-ce que c’est ?

Le « Règlement Général sur la Protection des Données » ou RGPD régit le traitement des données personnelles sur le territoire de l’Union européenne. Il s’agit d’une vue d’ensemble juridique qui se conforme aux évolutions des technologies et de nos sociétés :

développement du commerce en ligne ;
usages accrus du numérique, etc.

Inscrit dans la continuité de la Loi française informatique et Libertés de 1978, ce nouveau règlement européen permet aux citoyens de renforcer le contrôle concernant l’utilisation de leurs données personnelles. Il offre un cadre juridique unique aux professionnels et harmonise ainsi les règles en Europe. Il offre à ceux-ci la possibilité d’assurer le développement de leurs activités numériques au sein de l’Union européenne en s’appuyant sur la confiance des utilisateurs. Pour plus détails, il faudra penser à se renseigner.

À qui s’adresse le RGPD ?

Le RGPD concerne tout organisme, quel que soit son pays d’implantation, sa taille et son activité. Il s’adresse, en effet, à toute organisation privée et publique, qui fait du traitement de données personnelles du moment que :

elle est établie sur le territoire de l’Union européenne ;
son activité s’adresse directement aux résidents européens.

C’est, par exemple, le cas d’une entreprise établie en France qui exporte et vend au Maroc. Elle devra se soumettre aux nouvelles obligations prévues par le RGPD. Il en est de même pour un organisme établi en Chine qui propose un site d’e-commerce en français et qui livre ses produits en France. Les sous-traitants traitant les données personnelles pour le compte d’autres entreprises sont aussi concernés par le RGPD. Dans ce cas, si vous procédez à la collecte ou au traitement des données pour le compte d’une autre entité, des obligations spécifiques vous sont imposées afin de garantir la protection des données qui sont en votre possession.

RGPD : les points essentiels à retenir, les obligations imposées aux entreprises

Plusieurs choses essentielles doivent être prises en compte en ce qui concerne les obligations que le RGPD impose aux entreprises.

les personnes concernées doivent consentir au fait que les entités collectent leurs données personnelles ;
l’entreprise doit respecter le droit des personnes : droit de rectification, droit d’accès, droit à la portabilité, droit à l’oubli ;
les entités doivent établir un registre des traitements et le mettre à jour de manière régulière ;
les entreprises doivent prévoir des mesures adéquates afin de garantir un niveau de sécurité optimal des données personnelles (analyses d’impact, pseudonymisation, tests d’intrusion, etc.) ;
les entités sont pour la plupart obligées de nommer un DPO ou Data Protection Officer.

Qui est concerné par le DPO ?

Le RGPD s’applique généralement à toutes les entreprises, mais de manière différente. Pour la mise en œuvre de cette nouvelle réglementation, une fonction spéciale a été pensée, à savoir le « Data Protection Officer » ou DPO. Le délégué à la protection des données est juriste et technicien à la fois. Il s’occupe de toutes les actions qui sont liées à la protection des données personnelles. Le DPO est obligatoire pour 2 types d’entités :

les entreprises qui traitent les données de manière suffisamment spécifique afin de justifier le recrutement de cette fonction ;
les entreprises et les organismes publics.

D’après l’article 13 RGPD, le recrutement d’un DPO est nécessaire dans certains cas. C’est le cas notamment lorsque la gestion des données personnelles requiert un suivi régulier et systématique des personnes concernées. C’est aussi le cas lorsque le traitement des données est dit « sensibles » ou à caractère personnel qui se rapporte à des infractions ou à des condamnations pénales.

Comment savoir si votre entreprise est concernée par le DPO ?

Si vous voulez savoir si votre entreprise est concernée où non par l’article 13 RGPD, vous devez vous poser les bonnes questions.

L’activité principale de votre entreprise est-elle basée sur le traitement des données personnelles ?

Si l’activité de votre entreprise consiste à collecter, à gérer ou à exploiter les données personnelles, vous êtes donc obligé de recruter un DPO.

Les données personnelles sont-elles traitées à grande échelle ?

Impossible de déterminer le volume de données à partir duquel on peut parler de grande échelle. D’ailleurs, le volume n’est pas le seul paramètre à prendre en compte, la durée ou l’étendue géographique sont aussi des éléments à ne pas négliger. Ce dont vous pouvez être sûr, c’est que cette appellation traitement à grande échelle concerne les moteurs de recherche ainsi que les fournisseurs d’accès. Par contre, c’est moins évident à déterminer au cas par cas pour ce qui est des petites structures ou des PME.

Un suivi régulier et systématique des données personnelles est-il nécessaire ?

Si vous faites un suivi des données personnelles à répétition et de manière fréquente en utilisant une méthode ou un système spécifique, votre entreprise doit impérativement embaucher un DPO.

Le RGPD s’applique tout de même aux entreprises qui ne sont pas concernées par le DPO

Pour toute entreprise qui ne relève pas des spécificités mentionnées ci-dessous, le recrutement d’un DPO n’est probablement pas obligatoire. Cependant, il est possible de le faire volontairement si la nature de son activité le nécessite. Même si vous n’êtes pas dans l’obligation de disposer d’un DPO en interne, vous devez tout de même vous soumettre au RGPD. Vous devez dans ce cas désigner un pilote qui se chargera de la gestion des données personnelles au sein de votre organisme. Pour ce faire, vous pouvez faire appel aux services d’un organisme externe comme un cabinet d’avocats ou un prestataire sécurité informatique. Vous pouvez également désigner un de vos collaborateurs que vous jugez être en mesure d’assurer efficacement cette tâche.

Quels sont les risques encourus en cas de non-respect du RGPD ?

Pour les entreprises ou organisations qui ne respectent pas leurs obligations par rapport au RGPD, le législateur européen prévoit des amendes très importantes. Les sanctions pécuniaires, dans certains cas, notamment celui des PME peuvent mettre en péril l’existence de l’entreprise elle-même. En effet, l’amende peut atteindre les 10 millions d’euros. C’est la raison pour laquelle il est fortement recommandé de mettre votre entreprise en conformité au RGPD. Pour profiter d’un accompagnement personnalisé dans cette procédure ou obtenir des conseils avisés, adressez-vous à un avocat en droit de l’informatique et de l’Internet. Vous pouvez aussi vous tourner vers un DPO. Ces professionnels peuvent vous aider dans le déploiement et dans la structuration de votre projet.

Marion Jullian

CatégorieJURIDIQUE

blooming red petaled flowers near dining tables outside building during daytime

Comment déterminer le type de parasol qui correspond aux besoins de votre restaurant ?

Pourquoi faire appel à un professionnel pour l’aménagement de son magasin ?

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

POLE ECO INDUSTRIES