© - ATH tous droits réservés - Édition 2024 21 2024 LE GUIDE DU CHEF D'ENTREPRISE COMMENT METTRE EN OEUVRE LE RGPD ? Pour être en conformité avec le RGPD, les entreprises doivent : • Réaliser l’inventaire des traitements de données personnelles, • Évaluer leurs pratiques et mettre en place des procédures (notification des violations de données, gestion des réclamations et des plaintes, etc), • Identifier les risques associés aux opérations de traitement et prendre les mesures nécessaires à leur prévention, • Maintenir une documentation assurant la traçabilité des mesures. À QUOI SERT LA FONCTION DE DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO) ? Le RGPD rend obligatoire la nomination d’un DPO dans les organismes privés ou publics dont « les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées » ou lorsque « le traitement est effectué par une autorité publique ou un organisme public », à l’exception des juridictions. Le rôle du DPO est, d’une part, de garantir la conformité des traitements de données avec les principes de protection de la sphère privée, tels que fixés par le RGPD, et, d’autre part, de gérer les relations entre les personnes concernées (employés, clients) et les autorités de contrôle. QUELLES SONT LES SANCTIONS ENCOURUES EN CAS DE NON-RESPECT DU RGPD ? En cas de contrôle, l’entreprise doit prouver qu’elle a fait le nécessaire pour respecter le RGPD. À défaut, les autorités de contrôle, dont la CNIL (Commission nationale informatique et libertés), peuvent imposer des sanctions administratives pouvant aller jusqu’à 4 % du CA réalisé au niveau mondial (au cours de l’exercice précédent) ou 20 M€, le montant le plus élevé étant retenu. En cas d’incident, une notification d’attaque informatique ou de faille de sécurité entraînant des fuites d’information à caractère personnel doit être réalisée auprès de la CNIL sous 72 heures. L’entreprise victime de cette fuite de données doit également avertir tous ses clients et salariés par lettre recommandée avec AR. Pour en savoir plus, rapprochez- vous de votre expert-comptable. Le délai accordé pour mettre en conformité les sites et applications mobiles aux règles en matière de traceurs a pris fin le 31 mars 2021. L’évolution des règles applicables, clarifiées par les lignes directrices et la recommandation de la CNIL, marque un tournant et un progrès pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne et repose sur 2 éléments : • Des internautes clairement informés des finalités des traceurs, • Refuser les traceurs doit être aussi simple que les accepter. Quelques exemples récents de sanctions qui ont été infligées par la CNIL : • Utilisations à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées : - 525 000 € le 04 avril 2024, - 310 000 € le 31 janvier 2024. • Non-respect des obligations en matière de durée de conservation des données et de sécurité des données : - 100 000 € le 31 janvier 2024. • Manquement à l’information des chauffeurs : - 10 000 000 € le 11 décembre 2023 en coopération avec l’autorité néerlandaise. PLAN STRATÉGIQUE 2022-2024 Les orientations stratégiques de la CNIL pour la période de 2022 à 2024 se déclinent en 3 axes prioritaires : • Favoriser la maîtrise et le respect des personnes sur le terrain, • Promouvoir le RGPD comme atout de la confiance pour les organismes, • Prioriser des actions de régulations ciblées sur des sujets à fort enjeu pour la vie privée.
RkJQdWJsaXNoZXIy MjQ1OTI5OA==