Plus de cinq ans après l’entrée en vigueur du RGPD, les sanctions pour non-conformité des entreprises sont nombreuses. En 2023, 42 sanctions ont été prononcées par la CNIL pour un montant de 89 179 500 euros !
Depuis l’entrée en vigueur le 25 mai 2018 du RGPD, les entreprises doivent être dans une démarche active de conformité. Ainsi, elles doivent en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.
De quelle façon, les entreprises doivent documenter leur conformité au RGPD ?
La désignation d’un délégué à la protection des données (DPD) : cette désignation permet d’attester des démarches mises en œuvre en terme de gestion de la conformité. La désignation d’un DPD permettra au chef d’entreprise de ménager sa responsabilité pénale. Dans certains cas, la désignation d’un DPD sera obligatoire en cas de traitement mis en place si vous traitez des données sensibles au sens de l’article 9 du RGPD ou si les activités consistent en des opérations de traitement qui exigent un suivi régulier et systématique des personnes concernées.
La tenue de registres de traitement que vous soyez responsable de traitement ou sous-traitant : l’obligation de tenir à jour un registre des traitements est désormais distincte de l’obligation de désigner ou non un DPD. Ainsi, même si un DPD n’a pas été désigné, l’entreprise sera tenue de tenir à jour un registre des traitements.
Les analyses d’impact : au terme de l’article 35 du RGPD, le responsable de traitement devra d’assurer avant le traitement de la donnée de la nécessité et de la proportionnalité des opérations de traitement au regard de sa finalité.
La rédaction de procédures et clausiers : si vous êtes propriétaire d’un site internet, la tenue de procédures telle que la procédure relative aux droits des personnes ainsi que la tenue de mentions « RGPD » à apposer sur le site internet devra être effectuée : mentions légales avec les bandeaux cookies si des cookies sont présents, politique de confidentialité.
Les opérations de formation ou de sensibilisation au RGPD : en application de l’article 39 du RGPD, il convient de mettre en œuvre une politique de sensibilisation ou de formation à la règlementation. Ces opérations de sensibilisation doivent s’adresser en priorité au personnel ayant un accès permanent ou régulier aux données à caractère personnel mais les utilisateurs externes à l’organisme sont également concernés.
Concrètement, il peut s’agir notamment d’organiser des séances de sensibilisation sur les risques, les principaux types d’attaque (phishing, rançongiciel, usurpation d’identité), la vigilance nécessaire et la conduite à tenir en cas d’incident ou de suspicion mais également le déploiement de différentes campagnes de sensibilisation et la documentation des procédures d’exploitation en les tenant à jour et en les rendant disponibles à tous les utilisateurs concernés. Toute action sur un traitement de données personnelles, qu’il s’agisse d’une opération purement administrative ou de l’utilisation d’une application ou d’un logiciel doit être expliquée dans un langage clair et adapté pour les utilisateurs et dans des documents auxquels ceux-ci peuvent se référer.
Au final, le responsable du traitement doit non seulement mettre en place les mesures nécessaires afin d’assurer le respect du règlement, mais il doit également pouvoir le démontrer.
Cela signifie que le responsable du traitement a l’obligation de documenter les traitements qu’il effectue, d’expliquer les choix qu’il pose et de garder les preuves des mesures techniques et organisationnelles qu’il a prises.
En cas de contrôle par une autorité de protection des données, le responsable du traitement sera amené à démontrer qu’il réalise des traitements de données de manière conforme au règlement. Il devra donc, par exemple, justifier (documentation à l’appui) pourquoi il a considéré qu’il ne devait pas désigner de DPO. Pour ce faire, il pourrait notamment donner à l’autorité de protection des données une note détaillée, dans laquelle il précise les raisons de son choix de ne pas désigner de DPO.
Nos experts en droit des données personnelles peuvent vous accompagner dans ces démarches, notamment en mettant en place une véritable politique de conformité de votre entreprise.
Nos avocats se tiennent à votre disposition pour répondre à toutes vos questions et vous conseiller. Nos entretiens peuvent se tenir en présentiel ou en visio-conférence. Vous pouvez prendre rendez-vous directement en ligne sur www.agn-avocats.fr.
AGN AVOCATS – Propriété intellectuelle
contact@agn-avocats.fr
09 72 34 24 72
- Abus de biens sociaux
- Abus de faiblesse
- Actualités du réseau
- AGN Football Club
- Association
- Assurance & Responsabilité
- Bail commercial
- Cession de fonds de commerce
- Contractuels de la Fonction Publique
- Contrats & Consommation
- Contrôle Urssaf
- Délais de paiement
- Diffamation
- Divorce
- Donation
- Droit administratif
- Droit Contrats & Distribution
- Droit de la famille
- Droit de la Fonction Publique
- Droit de réponse
- Droit des Affaires
- Droit des Marques
- Droit des Sociétés
- Droit du Tourisme
- Droit du Travail
- Droit du Travailleur Handicapé
- Droit Equin
- Droit Franco-Allemand
- Droit Public
- Expulsion de locataires
- Fiscalité
- Fraude fiscale
- Immobilier
- Les Quiz AGN
- Malfaçons et vices cachés
- Non classé
- Permis de construire
- Préjudice Corporel
- Propriété intellectuelle et droit du numérique
- Revue de presse AGN
- Succession
- Travailleurs étrangers
- VEFA (vente en l’état futur d’achèvement)
- Ventes immobilières et compromis