Les donnรฉes personnelles concernent toutes les informations nous concernant que lโon rรฉvรจle lorsquโon se balade sur Internet : notre nom, notre รขge, le numรฉro de carte bancaire, nos centre dโintรฉrรชtsโฆ La protection de ces donnรฉes est importante pour les garder loin de tout usage malsain.
La prรฉservation des donnรฉes personnels : une obligation pour les organismes
La loi informatique sur la prรฉservation de donnรฉes personnelles est prรฉvue par le Rรจglement Gรฉnรฉral sur la Protection des Donnรฉes (RGPD). Ce rรจglement europรฉen est valable les pays membres de lโUnion Europรฉenne, et concerne plus prรฉcisรฉment la maniรจre dont les organismes doivent traiter les donnรฉes.
Le RGPD est stricte concernant les procรฉdures de traitement des donnรฉes, de transparence, de documentation et de consentement utilisateur. Cela est important afin de mieux protรฉger les droits et les libertรฉs des personnes physiques, mais aussi pour contrรดler la faรงon dont les informations seront utilisรฉes.
Les organismes sont tenus dโinformer les utilisateurs sur :
- Le type de donnรฉes traitรฉes ;
- Les finalitรฉs du traitement des donnรฉes ;
- Les pays et les tiers auxquels les donnรฉes seront transmises.
La lรฉgislation sur le registre simplifiรฉ RGPD
La tenue du registre
Tout organisme employant plus de 250 personnes est dans lโobligation de tenir un registre. Mais cette obligation peut รฉgalement concerner ceux qui en ont moins, surtout si ceux-ci traitent des donnรฉes sensibles comme des informations relatives ร des condamnations ou ร des infractions ou des informations pouvant porter atteinte aux droits et libertรฉs des personnes concernรฉes.
Concernant le sous-traitant en charge de donnรฉes personnelles pour le compte dโun organisme, le RGPD lโoblige รฉgalement ร tenir un registre. Celui-ci doit mentionner dans le registre la liste des activitรฉs rรฉalisรฉes pour le compte des clients.
Le fonctionnement du registre
Lโobligation de tenir un registre est prรฉvue par lโarticle 30 du Rรจglement Gรฉnรฉral sur la Protection des Donnรฉes, et celui-ci doit permettre dโidentifier :
- Le nom du responsable du traitement des donnรฉes, ou du dรฉlรฉguรฉ ร la protection des donnรฉes (Data Protection Officier, ยซ DPO ยป) ;
- Les catรฉgories de donnรฉes traitรฉes ;
- Les finalitรฉs des donnรฉes ;
- Les parties ayant un droit dโaccรจs et de transferts des donnรฉes ;
- La durรฉe de conservation des donnรฉes ;
- Les dรฉlais prรฉvus pour lโeffacement des donnรฉes ;
- La sรฉcuritรฉ des donnรฉes.
Cependant, tenir un registre ne suffit pas pour รชtre conforme aux normes imposรฉes par le RGPD. Il faudra effectuer une analyse dโimpact sur le traitement des donnรฉes sensibles, garantir la sรฉcuritรฉdes donnรฉes lors des transferts hors UE et garantir une meilleure protection des donnรฉes collectรฉes.
Vous pouvez voir ici un modรจle de registre simplifiรฉ RGPD, pour une tenue optimale des activitรฉs de votre organisme.
Les sanctions en cas de non-respect du RGPD
La Commission Nationale de l’Informatique et des Libertรฉs (CNIL) est lโautoritรฉ de contrรดle compรฉtente en matiรจre de RGPD. Cette derniรจre est dans la capacitรฉ de recourir ร des sanctions administratives en cas de non-respect du rรจglement.
Concernant les sanctions pรฉcuniaires, le montant peut sโรฉlever jusquโร 20 millions dโeuros. Pour les entreprises, la CNIL peut exiger jusquโร 4 % du chiffre dโaffaires annuel mondial.
Lorsque des violations au RGPD ou ร la loi sont portรฉes ร la connaissance de la CNIL, celle-ci peut :
- Emettre un rappel ร lโordre ;
- Ordonner de conformer les traitements ;
- Limiter temporairement ou dรฉfinitivement tout traitement en cours ;
- Suspendre les transferts de donnรฉes ;
- Prononcer une amende administrative.
Les sanctions pรฉnales
Lโarticle 84 du RGPD permet aux Etats membres de lโUE dโinstaurer des sanctions supplรฉmentaires en cas de violation du RGPD. On parle alors de mettre en place des sanctions concernant les violations qui ne font pas lโobjet dโamendes administratives.
Les sanctions pรฉnales peuvent sโรฉlever jusquโร 5 ans dโemprisonnement et 300 000โฌ dโamende.
