Skip to content

Se mettre en conformité au RGPD en quelques étapes

Dernière mise à jour le 14/03/2022

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), les organismes et entreprises ont dû procéder à une mise en conformité, et ainsi mettre en œuvre certaines mesures assurant le respect de cette nouvelle réglementation.

Cette procédure est un passage obligatoire pour les structures soumises au respect du RGPD qui encourent des sanctions en cas de non-conformité à cette nouvelle réglementation.

Qu’est-ce que la mise en conformité au RGPD ?

Afin de mieux comprendre ce à quoi correspond la mise en conformité au RGPD, il convient dans un premier temps d’aborder les grands principes qui composent le RGPD, puis ce qu’est la mise en conformité et enfin de définir le champ d’application du règlement.

Les grands principes du RGPD

Il existe 5 grands principes encadrant le règlement lié à la protection des données personnelles :

  • Le principe de finalité : le responsable de traitement ne peut enregistrer et utiliser des informations sur des personnes physiques que dans un but précis, légal et légitime
  • Le principe de sécurité et de confidentialité
  • Le principe de proportionnalité et de pertinence : les informations collectées doivent être pertinentes et nécessaires à la finalité du traitement
  • Le principe de la durée de conservation limitée : les informations collectées ne peuvent pas être conservées pour une durée indéfinie, une durée de conservation devant obligatoirement être fixée
  • Le respect des droits des personnes

La mise en conformité au RGPD

La mise en conformité au RGPD correspond à la mise en œuvre des moyens nécessaires au respect des règles posées par le règlement quant au traitement des données personnelles.

On entend par donnée personnelle « toute information se rapportant à une personne physique identifiée ou identifiable », selon l’article 4 du RGPD.

Les responsables de traitement sont soumis au principe d’accountability posé par l’article 5 du RGPD. Ce dernier les rend responsables du respect des règles relatives au traitement des données personnelles.

Bon à savoir : La mise en conformité est un processus qui requiert un certain dynamisme. En ce sens les entreprises doivent réévaluer régulièrement les mesures mises en place et les actualiser, si nécessaire.

Les personnes concernées par le RGPD

Le champ d’application du RGPD a été défini dans le règlement par l’article 3. En effet, ce dernier concerne l’ensemble des organismes, publics ou privés, amenés à traiter des données personnelles dès lors :

  • Que leur activité est établie sur le territoire de l’Union européenne
  • Que leur activité cible directement des résidents européens
A noter : Le RGPD concerne également les sous-traitants effectuant un traitement de données personnelles pour le compte d’autres organismes.

Comment s’effectue la mise en conformité au RGPD ?

Le processus de mise en conformité au RGPD nécessite de respecter l’application de plusieurs mesures.

Constituer un registre du traitement des données

Le registre de traitement des données permet à l’organisme d’avoir une vision d’ensemble sur ces derniers. Il requiert de procéder à une identification des activités principales de l’entreprise ayant recours au traitement de données personnelles.

Bon à savoir : Il est vivement conseillé de confier la tenue du registre au délégué à la protection des données (DPO) qui se chargera de le mettre à jour régulièrement.

Sur le plan pratique, le responsable de traitement ou le sous-traitant doit procéder à la création d’une fiche pour chaque activité recensée en indiquant les informations suivantes :

  • L’objectif poursuivi
  • Les catégories de données utilisées
  • Les personnes ayant accès aux données
  • La durée de conservation des données
A noter : il est indispensable de maintenir un contact avec l’ensemble des personnes de l’entreprise susceptibles d’être impliquées dans le traitement des données personnelles afin d’optimiser au mieux la tenue du registre.

Trier les données

L’organisme doit se limiter à la collecte des données strictement nécessaires au traitement. C’est le principe de minimisation des données. Ainsi, les données ne sont collectées que si :

  • Les données collectées sont nécessaires à l’activité de l’organisme
  • Les données traitées ne sont pas « sensibles », auquel cas il faut s’assurer que l’organisme a bien le droit de les traiter
  • Les données ne sont accessibles que par les personnes habilitées
  • Les données ne doivent pas être conservées au-delà de la durée nécessaire

On entend par finalité du traitement l’objectif en vue duquel les données sont collectées ou exploitées par l’organisme. Il incombe à ce dernier de la définir.

Respecter les droits des personnes

Le RGPD a pour objectif de renforcer la protection des données des personnes. C’est pourquoi il est venu conférer à ces dernières un certain nombre de droits :

  • Le droit d’accès
  • Le droit de rectification
  • Le droit d’opposition
  • Le droit à la limitation du traitement
  • Le droit à la portabilité (toute personne a le droit de récupérer les données fournies à un responsable de traitement)

C’est au responsable de traitement qu’il appartient de mettre en place les mesures visant à faire respecter ces droits.

Attention : Dans le cadre du RGPD, le responsable de traitement doit également s’assurer de collecter le consentement des personnes concernées avant de recueillir et de procéder au traitement de leurs informations personnelles.

Sécuriser les données personnelles

Le responsable de traitement doit prendre les mesures nécessaires afin de garantir la sécurisation des données personnelles en réduisant les risques de perte de données ou de piratage en respectant les principes suivants :

  • Le principe de confidentialité : les données ne sont accessibles qu’aux personnes autorisées
  • Le principe d’intégrité : les données ne doivent pas être altérées ou modifiées
  • Le principe de disponibilité : les données doivent être en permanence accessibles aux personnes autorisées
A noter : La sécurisation des données personnelles peut passer par la mise en place de divers mécanismes tels que : le chiffrement des données ou la pseudonymisation des données.

Si un organisme subi une violation de données, il doit procéder à un signalement à la CNIL dans les 72 heures suivant cette dernière si elle est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL.

Quelles sont les sanctions en cas de non-conformité au RGPD ?

En cas de non-respect du RGPD, un certain nombre de sanctions sont prévues. Ces dernières varient en fonction de la gravité des violations relevées par la CNIL. Ainsi, elles peuvent être constituées par :

  • Un avertissement
  • Des sanctions pécuniaires
  • Une injonction de cessation de traitement

FAQ

Pourquoi se mettre en conformité avec le RGPD ?

Le RGPD est un règlement contraignant concernant la protection des données personnelles. Il est entré en vigueur en 2018 et exige une profonde modification des pratiques concernant le traitement des données personnelles. Ainsi, en cas de non-respect de celui-ci, les organismes s’exposent à des sanctions.

Qui doit se mettre en conformité avec le RGPD ?

Tous les organismes, publics ou privés, amenés à traiter des données personnelles ont l’obligation de se mettre en conformité avec le RGPD. Ainsi, il peut s’agir d’entreprises, d’administrations, associations ou collectivités. Quelles que soient leurs tailles ou leurs activités.

Comment se mettre en conformité avec le RGPD ?

La mise en conformité au RGPD implique le respect de plusieurs étapes. Il est ainsi recommandé aux entreprises de tenir un registre du traitement des données. Elles doivent également veiller à respecter les droits des personnes ainsi que le principe de minimisation des données.

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 14/03/2022

S’abonner
Notifier de
guest
1 Commentaire
le plus ancien
le plus récent
Inline Feedbacks
View all comments
Eric Gardner de Béville
Eric Gardner de Béville
janvier 14, 2022 1:57

Merci pour ce résumé clair et concis sur un sujet complexe et compliqué.
Cordialement, EGB

Rédigé par

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L'ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris