La RGPD est une réglementation européenne entrée en vigueur le 25 mai 2018. Cette réglementation impose d’obtenir le consentement des clients avant de conserver leurs données. Elle met aussi en lumière le droit à l’oubli, c’est à dire que les personnes peuvent réclamer leur données, les modifier ou demander à ce qu’elles soient effacées.
Les entreprises peuvent plus facilement collecter les données personnelles et ne sont plus tenues de déclarer leur fichier auprès de la CNIL. En revanche, elles doivent assurer une meilleure protection de ces données et contrer le piratage.
Déclic Communication porte une attention particulière à la protection des données personnelles. Pour cela, l’ensemble des sites internet créé par l’équipe Déclic respecte la loi RGPD. Les formulaires de contact sont mis aux normes afin d’obtenir l’accord des personnes et de les informer de leur droit de modification et de suppression de leurs données.
Concernant les entreprises ou les administrations un registre de traitement doit être tenu.
Il est obligatoire de tenir un registre de traitement dans les cas suivants :
– Lorsque l’entreprise ou l’administration emploie plus de 250 salariés ;
– Quel que soit le nombre de salariés ;
- Lorsqu’un traitement de données personnelles est non occasionnel ou porte sur des données dites « sensibles » ;
- Lorsqu’un traitement est susceptible de comporter un risque de violation des droits et libertés individuelles des personnes concernées par le traitement ;
- Lorsqu’un traitement est relatif à des condamnations pénales et des infractions.
Seule une entité ne traitant pas de données à caractère personnel de manière “occasionnelle” peut s’affranchir de l’obligation de rédiger un registre des traitements, l’entreprise en question ne doit pas posséder de fichier relatif aux données de ses salariés, de ses prospects et/ou de ses clients et aucun fichier ne mentionnant de données à caractère personnel de ces personnes. Dans toutes les autres hypothèses soit 99% des entreprises, la réalisation d’un registre des traitements est obligatoire.
Ce registre de traitement doit comporter les informations suivantes :
- Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
- Les finalités du traitement ;
- Une description des catégories de personnes concernées et des catégories de données personnelles ;
- Les catégories de destinataires auxquels les données personnelles ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
- Le cas échéant, les transferts de données personnelles vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées ;
- Les délais prévus pour l’effacement des différentes catégories de données personnelles ;
- Une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
Ces obligations incombent également aux sous-traitants ayant accès à ces données personnelles.
En cas de non-respect de ces obligations, le responsable de traitement et, le cas-échéant, les sous-traitants, s’exposent à une amende pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffres d’affaires annuel mondial sur l’exercice précédent.
Vous pouvez prendre connaissance des guides édités par la Cnil et retrouvez toutes les informations sur les sites internet de la CNIL et BPI.
