Que faire si votre société ne répond pas aux normes RGPD ? 

Les entreprises non conformes aux normes imposées par la CNIL dans le cadre du RGPD sont sujettes à plusieurs sanctions. Pour dissuader les entités aux infractions aux obligations légales relatives à la protection des données à caractères sensibles, ces sanctions se traduisent en d’importantes sommes d’argent. Chaque société est alors tenue d’exploiter les données sensibles dans le respect des droits et libertés des personnes concernées, et d’agir avec transparence dans le processus de traitement et de sécurisation de ces données.

Quelles sanctions en cas de non conformité RGPD ? 

La référence en RGPD : la CNIL ou Commission nationale de l’informatique et des libertés a pour rôle de contrôler la mise en conformité des entreprises au RGPD et à la loi informatique et Liberté. Ses missions lui obligent à imposer fermeté envers les entreprises et les sous-traitants qui ne respectent pas les obligations légales sur le processus de traitement et de protection des collectes de données sensibles. 

Les sanctions qu’elle attribue aux organisations non conformes au RGPD possèdent un caractère uniforme et graduel dans toute l’Europe. Elles découlent généralement du degré de manquement des obligations du RGPD et prennent la forme de :

  • Avertissement ou de mise en demeure et rappel des règles de mise en conformité ;
  • Ordre de cessation immédiate des violations ;
  • Suspension temporaire des traitements des données, ou suspension des flux de données ;
  • Rectification et conformisation aux demandes des exercices des droits des personnes ;
  • En cas de récidivité, des sanctions administratives et des amendes.

Les amendes administratives sous forme pécuniaire sont classées en deux catégories suivant les violations des données et s’élèvent à 10 millions d’euros et à 20 millions d’euros.

Comment échapper aux sanctions et se mettre en conformité au RGPD ?

La responsabilité personnelle du dirigeant d’entreprise l’oblige à se conformer aux normes RGPD. Cette mise en conformité au RGPD est un processus constant à améliorer pour apporter une protection suffisante au traitement des données sensibles au sein de l’organisation. Des mesures techniques, organisationnelles et juridiques peuvent être adoptées pour limiter les risques de violations des données et d’échapper à la non conformité RGPD, renseignez-vous ici. 

La CNIL demande alors à chaque entité d’entretenir les principales actions suivantes pour assurer et pour maintenir leur mise en conformité vis-à-vis des règlements européens relatifs à la data protection :

L’élaboration d’un registre pour les traitements des données

Ne pas disposer d’un registre pour les traitements des données constitue une non-conformité RGPD. Un registre exhaustif et à jour forme une preuve conséquente de cette mise en conformité au RGPD. Celui-ci vous permet d’obtenir une vision d’ensemble sur votre processus de traitement des données. Ce livre contient ainsi les détails sur l’objectif de chaque traitement, les catégories des données utilisées, les personnes concernées, les services ou personnes ayant accès à ces données, et la durée de conservation des données ou les mesures de sécurité appliquées dans le traitement.  

Dans la bonne pratique du RGPD, la CNIL recommande également aux entreprises de recenser les données. Cette cartographie des traitements aide à structurer une vision globale du flux du traitement de données.   

Les nombreux points auxquels se conformer

Le RGPD vous impose quelques obligations essentielles dont :

  • La détermination de la finalité des traitements ;
  • L’information obligatoire des clients et des collaborateurs sur leurs droits ;
  • La conservation des données pendant un laps de temps précis (limitation dans le temps de la conservation des données sensibles) ;
  • Le choix et l’utilisation d’une base légale ;
  • Le recueil du consentement des personnes concernées (consentement explicite et la preuve du consentement, même pour les mineurs).

La désignation d’un DPO RGPD

Les entreprises traitantes ou sous-traitantes engagent un DPO en interne ou en externe en vue de les accompagner dans leurs mises en conformité au RGPD. Organisme privé ou public font appel à ces experts dont la mission se repose sur : l’information, le conseil et le contrôle des traitements des données à caractères personnels. Le DPO sert de lien entre la CNIL et l’entreprise.