En mai 2018, les entreprises de l’Union Européenne et du Royaume-Uni vont devoir se conformer au Règlement général sur la protection des données (RGPD). Pour éviter les sanctions, voici ce qu’il faudra faire pour être conforme au RGPD.


1. Désigner un Data Protection Officer (DPO)

Avec l’entrée en vigueur du RGPD, les entreprises devront désigner un Data Protection Officer ou Délégué à la Protection des Données (DPO). Ce délégué sera chargé en interne de comprendre et faire respecter les obligations du règlement, conseiller les employeurs de l’entreprise, dialoguer avec les autorités compétentes, et servir de médiateur en cas de contentieux. Ce poste est également accessible pour un « Correspondant Informatique et Libertés ».

2. Cartographier les traitements de données

Il s’agit de recenser dans un registre l’ensemble des traitements de données à caractère personnel, les classifier selon leur type (manuel ou automatique), et classer les données personnelles traitées. Les objectifs des traitements de données (gestion de la relation commerciale, gestion RH..), les acteurs (internes ou externes) chargés de ces traitements, les sous-traitants et les flux des données (origine et destination) doivent être renseignés dans ce registre. Cela permettra d’actualiser les clauses de confidentialité mais aussi d’identifier les transferts possibles de données hors de l’Union Européenne.

3. Etablir un plan d’actions

Suite à ce registre, vous devrez établir un plan d’actions pour chaque traitement de données afin de vous conformer au RGPD, telles que :

  • Restreindre la collecte uniquement aux données nécessaires servant vos finalités (« Privacy by design »)
  • Identifier les conditions d’exécution des traitements (contrat, consentement, intérêt légitime…)
  • Informer les sous-traitants de leurs nouvelles obligations et responsabilités concernant la sécurité, la confidentialité et la protection des données personnelles traitées dans une clause, dès lors incluse dans les contrats fournisseurs
  • Etablir la modalité d’exercice des droits des personnes concernées (droits d’accès, de rectification, droit à la portabilité, retrait du consentement…)
  • Vérifier les mesures de sécurité mises en place

4. Gérer les risques

Si des traitements de données personnelles sont susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez soumettre ces traitements à une étude d’impact sur la vie privée (Privacy Impact Assessment) pour mesurer leur niveau de conformité au RGPD.

Le PIA se compose des principes et droits fondamentaux intangibles, fixés par la loi, et les mesures appropriées pour protéger les données personnelles lorsque la vie privée des personnes concernées est menacée.

Le PIA doit être réalisé avant tout traitement de données. Toutefois, il doit être actualisé régulièrement, en particulier lors de changements des modalités d’exécution du traitement.

5. Assurer un haut niveau de protection

Afin d’assurer un haut niveau de protection des données personnelles, veillez à protéger les données personnelles dès la conception d’un traitement tout en anticipant les événements, notamment à risque, qui peuvent survenir lors d’un traitement (faille de sécurité, demande de rectification, d’accès, d’opposition aux données, retrait de consentement, changement de prestataire…). Vous devez ainsi sensibiliser vos collaborateurs sur la remontée d’information.

6. Documenter votre conformité

Vous devez constituer et regrouper la documentation nécessaire dans le but de prouver votre conformité au règlement. Veillez également à maintenir à jour les documents de façon régulière pour assurer une protection des données continue.

Cette documentation devra comprendre :

  • Un registre des traitements et des catégories d’activités de traitements pour les différents responsables
  • Les analyses d’impact sur la protection des données (PIA)
  • Le suivi des transferts de données hors Union Européenne
  • Les mentions d’information
  • Un recueil de consentement des personnes concernées
  • Les procédures pour l’exercice des droits
  • Les contrats qui définissent les rôles et les responsabilités des acteurs (contrats avec les sous-traitants, les mesures engagées lors de violation de données)

7. Mieux informer sur votre site Internet

Vous devez informer l’internaute de façon explicite sur la collecte de données que vous réalisez mais également de son droit et la manière d’accéder à ces données (mail, téléphone ou courrier).

Les bandeaux cookies, recueillant le consentement dès lors tacite des internautes quant à l’installation de cookies, ne seront plus valables : il faut désormais recueillir le consentement explicite de l’internaute. Autrement dit, l’internaute devra pouvoir accepter ou refuser la collecte de données et avoir accès à une page détaillant cette dernière.

Ces bandeaux cookies doivent se situer sur la page d’accueil mais aussi sur les pages où se trouvent des formulaires : contact, demande de devis, inscription… Pour chaque formulaire, vous devez préciser les données collectées, la durée de leur conservation (inférieure à 13 mois) et la finalité de la collecte.

8. Une nouvelle gradation des sanctions

Avec l’entrée en vigueur du RGPD, les sanctions administratives encourues en cas de violation de la protection des données à caractère personnel deviennent désormais plus sévères :

  • Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design, Privacy By Default, en matière de PIA, etc.
  • Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.)

En plus des sanctions administratives, le RGPD prévoit notamment des sanctions pénales (sur le territoire français), qui peuvent être résumées par le tableau suivant :

Infraction Texte Peines
Non-respect des formalités préalables Articles 226-16 et 226-16-A du Code pénal 300.000 euros d’amende et 5 ans d’emprisonnement
Non-respect de l’article 34 de la loi Informatique et Libertés relatif à l’obligation de sécurité Articles 226-17 et 226-17-1 du Code pénal 300.000 euros d’amende et 5 ans d’emprisonnement
Détournement de la finalité des données personnelles Article 226-21 du Code pénal 300.000 euros d’amende et 5 ans d’emprisonnement
Procéder à un transfert de données transfrontières contrevenant aux mesures prises par la Commission des Communautés européennes ou à l’article 70 de la loi Informatique et Libertés Article 226-22-1 du Code pénal 300.000 euros d’amende et 5 ans d’emprisonnement
Absence d’information des personnes concernées Article R. 625-10 du Code pénal 1.500 euros d’amende par infraction constatée
Non-respect des droits des personnes Article R. 625-11 du Code pénal 1.500 euros d’amende par infraction constatée

Ces sanctions sont à hauteur de leur degré de gravité.


Avec le RGPD, les entreprises européennes découvrent un nouvel enjeu majeur : les données à caractère personnel. Ce règlement renforce la responsabilité des organismes assurant la collecte de données mais aussi les droits des personnes dont les données sont collectées. Il modifie également la manière de collecter, exploiter et enregistrer ces données dont la violation est fortement sanctionnée.

Télécharger gratuitement notre guide conseil : 5 bonnes raisons pour mettre en place une stratégie digitale dans votre PME
TÉLÉCHARGER NOTRE GUIDE CONSEIL
Agence digitale spécialisée en inbound marketing