Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) le 25 mai 2018, tous les organismes (privés et publics) et toutes les entreprises doivent mettre en place une organisation adaptée à leur taille et au risque de traitement des données personnelles qui leur sont confiées.
Quelles sont vos obligations au titre du RGPD ?
Vous devez mettre en place une organisation adaptée à la taille de votre entreprise et à la sensibilité des données personnelles traitées.
Vous devez notamment:
Mettre en place une gouvernance et désigner un Délégué à la Protection des données personnelles (DPO), le cas échéant.
Bon à savoir: Si votre entreprise n’est pas soumise à l’obligation de nommer un DPO, il est recommandé de désigner une personne pilote pour mener le plan de conformité au RGPD.
Tenir une documentation permettant de démontrer la conformité au RGPD.
Protéger les données par la mise en œuvre de mesures techniques et organisationnelles.
Prendre en compte les enjeux liés à la protection des données dès la phase de conception du produit ou du service et par défaut (Privacy by design /Privacy by default).
Notifier les violations de données auprès de la CNIL, voire auprès de la personne concernée par la violation de ces données, en cas de risque élevé pour ses droits et libertés.
Quels sont les risques encourus en cas de violation du RGPD ?
Atteinte à l’image et à la réputation de votre entreprise
Sanctions pénales
Amendes pénales jusqu’à 300 000 € et peine d’emprisonnement jusqu’à 5 ans
Responsabilité civile de l’entreprise en cas de dommages causés du fait de la violation des données personnelles
Frais de notification de la violation des données personnelles à la CNIL, voire aux personnes concernées
Amende administrative en cas d’action de la CNIL ou d’une autorité administrative.
Le risque d’une sanction financière peut aller jusqu’à 4% de votre chiffre d’affaires annuel global, ou 20 millions d’euros
Votre responsabilité civile peut être engagée
Qui peut engager la responsabilité civile de votre entreprise?
Toute personne ayant subi un dommage du fait d’une atteinte à ses données personnelles peut engager votre responsabilité civile. Il peut s’agir de vos salariés, clients, administrés, adhérents…
Quand?
En cas de « violation de leurs données personnelles », c’està-dire de « faille de sécurité » entraînant la destruction, la perte, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement.
L’origine peut être :
– Accidentelle : par exemple divulgation par erreur par un salarié de données, etc.
– Illicite ou malveillante en cas notamment de cyber-attaque ou de comportement mal intentionné.
Préjudice moral
Dommage «matériel»
Perte financière
Violation des données personnelles que vous traitez
Dommages aux clients, salariés, administrés…
Que faire en cas de violation des données personnelles ?
Entreprise ou collectivité, que vous soyez victime d’une attaque malveillante ou d’un accident (erreur, omission) à l’origine d’une atteinte aux données personnelles que vous traitez…
Vous avez une obligation de notification, Vous devez informer dans les meilleurs délais l’autorité compétente, la CNIL, en cas de risques pour les droits et libertés des personnes, en utilisant le formulaire téléchargeable sur le site www.cnil.fr.
Vous devez aussi informer toute personne concernée de la violation de ses données, en cas de risque élevé pour ses droits.
Vous pouvez utiliser l’outil d’auto-évaluation de la CNIL pour estimer si vous êtes tenus de notifier les personnes ou non. La notification doit être adressée à la personne par tout moyen permettant
d’apporter la preuve de l’accomplissement de cette notification (LRAR par voie postale ou courrier électronique, etc.)