Mise en conformité : Qu’est-ce que c’est ?
Après son entrée en vigueur le 25 mai 2018, les organismes européens ou les activités qui concernent directement les résidents européens et qui traitent des données personnelles doivent se mettre en conformité au Règlement Général sur la Protection des Données (RGPD). Qu’est-ce qu’une mise en conformité et quels sont les acteurs concernés ? Tout ce qui concerne la mise en conformité sur les traitements de données se trouveront dans cet article.
Traitement des données : la conformité des organisations
Le respect des règles relatives au RGPD est rarement considéré comme un sujet prioritaire par les organismes. Ces règles sont pourtant devenues l’un des éléments clés de la conformité règlementaire et ces règles font l’objet d’un contrôle systématique. Cependant, la conformité est un sujet important aujourd’hui compte tenu des relations que les organismes peuvent avoir avec leurs partenaires ou leurs clients afin de les fidéliser ou de garder une bonne image, ces organismes doivent se conformer à ces règles. Comme le RGPD s’applique à toutes les organisations, qu’elles soient publiques ou privées, et qui traitent des données personnelles, elles doivent se mettre en conformité au RGPD, c’est-à-dire, les organisations doivent protéger et surveiller les données, comme cela était déjà le cas par les équipes de sécurité des organisations. Cependant, à partir de l’entrée en vigueur du Règlement Général sur la Protection des Donnée, le simple fait de ne pas protéger les données sera désormais sanctionné et coûteux.
La non-conformité au RGPD sera passible d’amendes.
Traitement de données hors Union Européenne
La conformité européenne concerne donc toutes les organisations européennes ou les organisations qui ont des activités qui concernent directement les résidents européens. Alors qu’en est-il pour les organismes hors Europe ? La Commission Européenne a donc recensé un certain nombre de pays où la protection des données est adéquate si le sous-traitant est situé hors Europe comme la Suisse, le Canada ou l’Israël par exemple. Le Règlement Européen sur le Protection des Données encadre donc les transferts internationaux de données.
Pour transférer leurs données, les organismes peuvent utiliser plusieurs outils comme une décision d’adéquation qui est établie par la Commission européenne et permet qu’un pays tiers offre un niveau de protection des données à caractère personnel comparable à celui garanti dans l’Union européenne. Le deuxième outil que peuvent utiliser les organismes sont les garanties appropriées qui l’engagement des organismes concernés. En l’absence de ces garanties, le transfert de données peut être résilié par dérogation sous des conditions spécifiques.
Sanctions en cas de non-conformité
Des sanctions financières sont prévues pour les organismes ne se conformant pas au RGPD qui poursuit trois objectifs principaux : d’unifier les législations, de renforcer les droits des personnes et d’imposer un nouveau mode de gouvernance des données clients. C’est pourquoi, les entreprises non conformes s’exposent à de lourdes sanctions financières du RGPD : une amende qui s’élève à un maximum de 20 millions d’euros ou 4% du chiffre d’affaires mondial. Cela permet de faire un usage des données à caractère personnel plus sécurisé et respectueux et d’apporter plus de transparence lors de la collecte de ces données.
Pour cela, la CNIL dispose de moyens afin de contraindre les organismes à se conformer au RGPD, notamment en prononçant un avertissement, en mettant en demeure l’entreprise, en limitant temporairement ou définitivement un traitement de données, en suspendant les flux de données, en ordonnant de satisfaire aux demandes d’exercice des droits des personnes ou en ordonnant la rectification, la limitation ou l’effacement des données.