Conformité RGPD : les bonnes pratiques à appliquer en entreprise

Créez un sous-titre de post de blog qui résume en quelques phrases claires et concises le contenu de votre post et qui motivera vos lecteurs à continuer à lire.

Alexandra Patard / Publié le 14 septembre 2022

Le Règlement général sur la protection des données (RGPD) a été adopté par le Parlement européen en 2016 et est entré en vigueur en 2018. Il érige un cadre légal de la protection des données à caractère personnel pour l’Europe. Toute entité amenée à manipuler des données à caractère personnel de résidents européens doit se conformer au Règlement.

Protéger les données personnelles, c’est avoir une bonne hygiène informatique. La multiplication des outils et services dans les organisations engendre une explosion d’utilisation de données, dont beaucoup ont un caractère personnel. Les entreprises doivent pouvoir les gérer de manière correcte et efficace pour maintenir leur activité à flot. En effet, de nombreux risques pèsent sur les organisations, qu’il soit financier via une amende ou un blocage de l’activité par l’absence de sécurisation des données, ou de réputation via le « name and shame« .

La protection des données personnelles s’inscrit aujourd’hui dans un cadre large d’éthique, de RSE et de cybersécurité. Il ne s’agit plus d’une obligation isolée. Cette réglementation marque également une nouvelle approche dans la régulation et demande aux organisations de prouver qu’elles sont conformes (accountability) sans attendre l’intervention du régulateur. Il y a donc une grande documentation à mettre en place.

Quelles sont les principales bonnes pratiques à suivre pour être en conformité RGPD ?

Il est important de mettre des moyens sur le sujet et de l’inclure dans la stratégie globale de l’entreprise. Cela passe par une gouvernance interne, de la communication, des outils métiers de gestion des données personnelles, comme nous le proposons chez Dastra, et une infusion de bonnes pratiques dans les activités de l’entreprise. C’est pourquoi l’implication des métiers est essentielle.

Par exemple, les directions des achats doivent prendre en compte les critères de respect du RGPD dans l’acquisition d’outils ou de services, et ainsi collaborer avec les « sachants » (service juridique, DPO, Privacy leader etc.). Dans chaque service, il est nécessaire de se poser des questions qui relèvent le plus souvent du bon sens : en quoi ces données me sont utiles ? Combien de temps vais-je les conserver ? Qui y a accès ? Est-ce que je sais comment mon service fonctionne ?

La plupart du temps, il s’agit surtout de connaître son environnement et de se demander : est-ce que ce ne serait pas l’occasion d’optimiser, de faire un peu de ménage ?

Quels sont les risques encourus par les entreprises qui ne respecteraient pas les exigences de la CNIL ?

La coopération avec l’autorité de contrôle est une obligation inscrite dans le RGPD. La mauvaise foi est un critère d’aggravation de la réponse administrative, qui peut aller jusqu’à la sanction financière à hauteur de 4 % de chiffre d’affaires mondial, ou 20 millions d’euros dans la limite du montant le plus élevé. On constate que le nombre de sanctions est en constante augmentation et que les montants financiers s’élèvent. Aujourd’hui, la CNIL n’est plus seule à décider du montant d’une sanction, les autres autorités européennes ont leur mot à dire et peuvent demander un montant plus élevé que celui proposé par la CNIL. C’est arrivé récemment avec le groupe ACCOR. La CNIL proposait 100 000 euros d’amende, mais le mécanisme européen a permis de relever la sanction à 600 000 euros.

Il faut savoir que les moyens de la CNIL augmentent ainsi que sa réponse contentieuse. Elle a adressé plusieurs centaines de mises en demeure sur les cookies l’année dernière. Elle continue cette année sur la sécurisation des sites Internet. De plus, elle dispose d’un nouveau pouvoir, de prononcer des amendes d’un montant maximum de 20 000 euros dans une procédure simplifiée, notamment pour fluidifier la réponse administrative au regard des milliers de plaintes qu’elle reçoit.