Une donnée personnelle est décrite par la CNIL comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Autrement dit, c’est une information identifiant une personne physique directement (nom, prénom, image…) ou indirectement (n° de téléphone, adresse mail, n° de compte ou de sécurité sociale, empreinte…).

Le RGPD concerne tout le monde ! En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte (dans ce cas l’organisme est responsable de traitement). Mais il concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Mais les obligations principales incombent seulement :

• aux autorités et organismes publics
• aux entreprises de plus de 250 salariés
• aux organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle
• aux organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » (données relatives à la santé, la vie sexuelle, l’origine raciale, les opinions politiques…)

Plusieurs étapes pour être en conformité avec le RGPD :

1. Mettre en place des procédures d’alerte en cas de violation de données personnelles
2. Informer les clients et les salariés: par des notifications d’information, un consentement écrit, des avenants de contrats et en révisant les clauses des contrats par exemple
3. Faire un inventaire de tous les traitements de données réalisés

Et, en plus pour les organismes de plus de 250 salariés :

• Désigner un délégué à la protection des données: cette personne devra prendre toutes les mesures nécessaires à la protection des données comme limiter la quantité de données traitées, fixer des délais de conservation, démontrer la conformité…
• Mettre en place un registre des traitements (modèle sur le site de la CNIL)

Les entreprises de moins de 250 salariés bénéficient d’une dérogation en ce qui concerne la tenue de registres. Ils doivent inscrire au registre les seuls traitements de données suivants :

• les traitements réguliers (exemples : gestion de la paie, gestion des clients/prospects et des fournisseurs…)
• les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemples : systèmes de géolocalisation, de vidéosurveillance…)
• les traitements qui portent sur des données sensibles (exemples : données de santé, infractions…)

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la CNIL peut prononcer un rappel à l’ordre, enjoindre de mettre le traitement en conformité, prononcer une amende administrative (jusqu’à 4 % du chiffre d’affaires annuel mondial).

Mais ne vous inquiétez pas, les sanctions ne sont pas automatiques et ne sont pas le but ultime du RGPD ! La finalité du RGPD est principalement d’informer et de favoriser une prise de conscience : faire comprendre leurs droits aux individus et faire en sorte que les organismes fassent des efforts pour mieux protéger les données personnelles qu’ils traitent.

Certains courriers concernant le RGPD envoyés par voie postale sont des arnaques. Renseignez-vous avant d’y répondre !

Pour plus d’informations, vous pouvez vous tourner vers le site internet de la CNIL, vers des avocats spécialisés, les syndicats professionnels ou encore des consultants extérieurs. Vous pouvez également joindre notre responsable de la protection des données à cette adresse e-mail rgpd@cfgs.fr