RGPD : Comment éviter les sanctions de la CNIL ?

Pour éviter les sanctions appliquées par la Commission nationale de l’informatique et des libertés (CNIL), il convient d’être en accord avec les nouvelles normes introduites par le RGPD en matière de protection des données personnelles. L’enjeu est d’autant plus grand que le Règlement Général sur la Protection des Données prévoit de lourdes sanctions en cas de non-respect de ses dispositions.

En cas de non-respect du RGPD, les sanctions sont sévères

En France, c’est la CNIL qui est en charge de veiller à la mise en conformité des différents acteurs économiques concernés par cette nouvelle norme européenne, entrée en vigueur le 25 mai 2018. Si la Commission nationale de l’informatique et des libertés constate des irrégularités ou des manquements aux obligations des professionnels concernés par le RGPD, elle est désormais en mesure d’appliquer de fortes sanctions. À titre informatif, ces sanctions peuvent aller jusqu’à 20 millions d’euros ou bien 4% du chiffre d’affaires total d’une société. Sans compter qu’aux sanctions financières viennent s’ajouter pour les entreprises négligentes d’importants préjudices liés aux éventuels piratages de données, créant une baisse de notoriété de la marque. Les enjeux financiers pour les professionnels sont donc considérables et la CNIL a d’ores et déjà sanctionné plusieurs sociétés qui ne respectaient pas le cadre juridique du RGPD.

Il convient donc d’éviter à tout prix les sanctions que l’autorité de protection peut infliger depuis le 25 mai 2018. Pour cela, les acteurs concernés pourront nommer un DPO (Data Protection Officer), lequel sera en charge de s’assurer de la bonne conformité de l’entreprise avec le RGPD.

Comment s’assurer de sa conformité avec le RGPD ?

Si votre société est concernée par le Règlement Général sur la Protection des Données, elle doit s’assurer de respecter notamment cinq règles essentielles :

• S’efforcer de mettre en place une protection réelle des données personnelles (Privacy by design) ;
• S’assurer d’avoir obtenu au préalable le consentement de la personne concerné quant au recueil de ses données personnelles ;
• Accorder aux personnes concernées un véritable droit à l’oubli, ou “droit à l’effacement” de leurs données personnelles ;
• Donner à l’utilisateur l’accès à ses données personnelles et la possibilité de les modifier ;

Le RGPD impose le principe de Privacy by design, qui doit s’appliquer en amont même de la réalisation d’un projet collectant des données personnelles. Ce principe, véritable exigence du RGPD, demande à ce que la protection des informations personnelles soit au cœur de la conception d’un projet, service, produit ou système. Il est également impératif que la règle de sécurité par défaut soit appliquée et que toute société concernée dispose d’un système parfaitement sécurisé.

L’une des autres exigences fondamentales du RGPD concerne l’obligation de recueillir le consentement de la personne concernée quant à la collecte de ses données. La case impliquant le consentement de la personne doit ainsi être impérativement cochée par ce dernier et la collecte par défaut (via une case d’autorisation déjà cochée) est formellement interdite.

Concernant le droit à l’oubli, l’ensemble des acteurs concernés par le RGPD doivent être en mesure d’effacer définitivement les données personnelles d’un utilisateur dès lors qu’il en fait la demande. De même, l’utilisateur a un droit d’accès permanent à ses données collectées, ainsi que le droit de limiter l’utilisation de ses informations et d’en demander la modification.