Dans Général, Général

10 questions/réponses pour vous guider

À qui s’applique la législation relative à la protection des données?

Le RGPD s’applique:

  • aux entreprises ou entités qui traitent des données à caractère personnel dans le cadre des activités de l’une de leurs filiales établie au sein de l’UE, indépendamment de l’endroit où les données sont traitées; ou
  • aux entreprises établies en dehors de l’UE qui proposent des biens ou des services (payants ou gratuits), ou surveillent le comportement de personnes dans l’UE.

Lire plus :

Si votre entreprise est une petite ou moyenne entreprise (PME) qui traite des données à caractère personnel telle que décrit ci-dessus, vous devez respecter le RGPD. Toutefois, si le traitement des données à caractère personnel ne fait pas partie des activités de base de votre entreprise et que ces activités n’engendrent pas de risques pour les personnes, vous ne serez dès lors pas soumis à certaines obligations du RGPD. Notez que les «activités de base» devraient comprendre les activités où le traitement des données fait partie intégrante des activités du responsable du traitement ou du sous-traitant.

Les règles s’appliquent-elles aux PME?

Oui, l’application du règlement sur la protection des données ne dépend pas de la taille de votre entreprise/organisation mais de la nature de vos activités. Les activités qui comportent des risques élevés pour les droits et libertés des personnes, qu’elles soient exécutées par une PME ou par une grande société, entraînent l’application de règles plus strictes. Cependant, certaines obligations du RGPD peuvent ne pas s’appliquer à toutes les PME.

Lire plus :

Par exemple, les entreprises qui comptent moins de 250 employés ne doivent pas tenir de registres de leurs activités de traitement sauf si le traitement des données à caractère personnel est une activité régulière, représente une menace pour les droits et libertés des personnes concernées, ou qu’il porte sur des données sensibles ou des casiers judiciaires.

De même, les PME devront simplement nommer un délégué à la protection des données si le traitement est leur principale activité et qu’il représente une menace spécifique pour les droits et libertés des personnes concernées (tels le suivi des personnes ou le traitement de données sensibles ou de casiers judiciaires), d’autant qu’il est effectué à grande échelle.

Les règles sur la protection des données s’appliquent-elles aux données relatives à une entreprise?

Non, les règles s’appliquent uniquement aux données à caractère personnel relatives aux personnes. Elles ne régissent pas les données relatives aux entreprises ni aux autres entités juridiques. Toutefois, les informations liées aux entreprises unipersonnelles peuvent constituer des données à caractère personnel si elles permettent l’identification d’une personne physique. Les règles s’appliquent également à toutes les données à caractère personnel liées à des personnes physiques dans le cadre d’une activité professionnelle, telles que les employés d’une entreprise/organisation, les adresses électroniques au format «prénom.nom@société.eu» ou les numéros de téléphone professionnels des employés.

Quelles données peut-on traiter et sous quelles conditions?

Le type et la quantité de données à caractère personnel qu’une entreprise/organisation peut traiter dépendent de la raison pour laquelle elles sont traitées (raison juridique utilisée) et du but dans lequel elles le sont. L’entreprise/organisation doit respecter plusieurs règles essentielles

Lire plus :

, notamment les suivantes:

  • les données à caractère personnel doivent être traitées de manière licite et transparente, en garantissant la loyauté envers les personnes dont les données à caractère personnel sont traitées («licéité, loyauté et transparence»);
  • il doit y avoir des finalités spécifiques pour traiter les données et l’entreprise/organisation doit indiquer ces finalités aux personnes concernées lorsqu’elle collecte leurs données à caractère personnel; une entreprise/organisation ne peut pas simplement collecter des données à caractère personnel pour des finalités non déterminées («limitation des finalités»);
  • l’entreprise/organisation ne peut collecter et traiter que les données à caractère personnel qui sont nécessaires pour atteindre ces finalités («minimisation des données»);
  • l’entreprise/organisation doit s’assurer que les données à caractère personnel sont exactes et tenues à jour au regard des finalités pour lesquelles elles sont traitées, et les corriger le cas échéant («exactitude»);
  • l’entreprise/organisation ne peut plus utiliser les données à caractère personnel pour d’autres finalités qui ne sont pas compatibles avec la finalité pour laquelle elles ont été initialement collectées;
  • l’entreprise/organisation doit s’assurer que les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées («limitation de la conservation»);
  • l’entreprise/organisation doit mettre en place des mesures techniques et organisationnelles appropriées qui garantissent la sécurité des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de la technologie appropriée («intégrité et confidentialité»).

Combien de données peut-on collecter?

Les données à caractère personnel ne devraient être traitées que lorsqu’il n’est pas raisonnablement possible de procéder au traitement d’une autre manière. Si possible, il est préférable d’utiliser des données anonymes. Lorsque des données à caractère personnel sont nécessaires, elles devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour la finalité («minimisation des données»). Il est de la responsabilité de votre entreprise/organisation en tant que responsable du traitement d’évaluer la quantité de données nécessaires et de vous assurer de ne pas collecter des données non pertinentes.

Combien de temps peut-on garder les données et doivent-elles être mises à jour?

Les données doivent être conservées pendant le plus court délai possible. Cette période devrait bien sûr tenir compte des raisons pour lesquelles votre entreprise/organisation doit traiter les données ainsi que des obligations juridiques qui vous imposent de garder les données pendant une période déterminée.

Lire plus

Votre entreprise/organisation devrait fixer des délais pour effacer ou examiner les données conservées.

Exceptionnellement, les données à caractère personnel peuvent être conservées plus longtemps à des fins archivistiques dans l’intérêt public ou à des fins de recherche scientifique ou historique, à condition que des mesures techniques et organisationnelles appropriées soient mises en place (telles que l’anonymisation, le chiffrement, etc.).

Votre entreprise/organisation doit également s’assurer que les données qu’elle détient sont exactes et tenues à jour.

Quelles informations doit-on donner aux personnes dont les données sont collectées ?

Au moment où leurs données sont collectées, il faut au moins communiquer clairement aux personnes:

  • qui est votre entreprise/organisation (vos coordonnées et celles de votre DPD le cas échéant);
  • pourquoi votre entreprise/organisation utilisera  leurs données à caractère personnel (finalités);
  • les catégories de données à caractère personnel concernées;
  • la raison juridique du traitement de leurs données;
  • la durée pendant laquelle les données seront conservées;
  • les autres destinataires éventuels des données;
  • le transfert éventuel de leurs données à caractère personnel à un destinataire établi en dehors de l’UE;
  • leur droit de copier les données (droit d’accès aux données à caractère personnel) et d’autres droits fondamentaux dans le domaine de la protection des données (voir la liste complète des droits);
  • leur droit d’introduire une réclamation auprès d’une autorité de protection des données (APD);
  • leur droit de retirer leur consentement à tout moment;
  • le cas échéant, l’existence d’une prise de décision automatisée et la logique sous-jacente, y compris les conséquences de ce traitement.

Lire plus :

Ces informations peuvent être fournies par écrit, oralement à la demande de la personne concernée lorsque son identité est démontrée par d’autres moyens, ou par voie électronique lorsque c’est approprié. Votre entreprise/organisation doit le faire de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples et gratuitement.

Quand les données sont obtenues auprès d’une autre entreprise/organisation, votre entreprise/organisation devrait fournir les informations reprises ci-dessus à la personne concernée au plus tard dans un délai d’un mois à compter du moment où votre entreprise a obtenu les données à caractère personnel; ou, si votre entreprise/organisation communique avec la personne, lorsque les données sont utilisées pour communiquer avec elle; ou, s’il est envisagé de communiquer les informations à une autre entreprise, lorsque les données à caractère personnel sont communiquées pour la première fois.

Votre entreprise/organisation doit également informer la personne concernée des catégories de données et de la source qui lui a fourni les données; et, si des données ont été obtenues auprès de sources accessibles au public, cette information doit également être mentionnée. Dans certains cas spécifiques repris à l’article 13, paragraphe 4, et à l’article 14, paragraphe 5, du RGPD, votre entreprise/organisation peut être dispensée de l’obligation d’informer les personnes concernées. Veuillez vérifier si votre entreprise/organisation se trouve dans un de ces cas.

Comment puis-je démontrer que mon organisation respecte le RGPD ?

Le principe de responsabilité est un pilier du règlement général sur la protection des données. Selon le RGPD, il relève de la responsabilité d’une entreprise/organisation de respecter tous les principes de la protection des données et de démontrer ce respect. Le RGPD fournit aux entreprises/organisations un ensemble d’outils pour les aider à démontrer leur responsabilité, dont certains doivent obligatoirement être mis en place.

Lire plus :

Par exemple, dans certains cas, la désignation d’un DPD ou l’analyse d’impact relative à la protection des données peut être obligatoire. Les responsables du traitement des données peuvent choisir de recourir à d’autres outils, tels que les codes de conduite et les mécanismes de certification, pour démontrer le respect des principes de protection des données.

Vous pouvez appliquer un code de conduite préparé par une association d’entreprises qui a été approuvé par une APD. Un code de conduite peut bénéficier d’une validité dans l’ensemble de l’UE grâce à un acte d’exécution de la Commission.

Vous pouvez appliquer un mécanisme de certification géré par un des organismes de certification ayant reçu l’agrément d’une APD ou d’un organisme national d’accréditation, voire des deux, selon le droit en vigueur dans chaque État membre de l’UE.

Les codes de conduite et la certification sont des instruments facultatifs. La décision revient donc à votre entreprise/organisation d’appliquer un code de conduite donné ou de demander une certification ou non. Alors que votre entreprise/organisation doit toujours respecter le RGPD, l’application de ces instruments peut être remise en question en cas de mesure répressive à votre encontre pour une violation du RGPD.

Quels sont les avantages pour les PME?

La réforme de la protection des données vise à stimuler la croissance économique en réduisant les coûts et les lourdeurs administratives pour les entreprises européennes, notamment pour les petites et moyennes entreprises (PME). En instaurant une réglementation unique, contre 28 actuellement, la réforme de la protection des données dans l’UE aidera les PME à percer sur de nouveaux marchés.

Lire plus :

Dans un certain nombre de cas, les obligations des responsables du traitement et des sous-traitants sont calibrées en fonction de la taille de l’entreprise et/ou de la nature des données traitées. Par exemple:

Les PME n’auront pas à désigner de délégué à la protection des données, à moins que leurs activités principales n’exigent un suivi régulier et systématique des personnes concernées à une grande échelle, ou si elles traitent des catégories particulières de données à caractère personnel telles que celles qui révèlent l’origine raciale ou ethnique ou des convictions religieuses. De plus, il ne devra pas nécessairement s’agir d’un salarié à temps plein, mais ce pourrait être un consultant ad hoc et, par conséquent, une option nettement moins coûteuse.

Les PME n’auront pas à consigner leurs activités de traitement, à moins que le traitement auquel elles procèdent soit régulier ou susceptible d’entraîner un risque pour les droits et libertés des personnes concernées.

Les PME n’auront pas à signaler toutes les violations de données aux personnes physiques, à moins que ces violations ne représentent un risque élevé pour les droits et libertés des personnes concernées.

À quelles sanctions les entreprises s’exposeront-elles en cas de non-respect des nouvelles règles de protection des données?

Le règlement général sur la protection des données prévoit une série d’instruments pour garantir le respect des nouvelles règles, notamment des sanctions et des amendes. Chaque cas sera examiné avec soin et toute une série de facteurs seront pris en compte pour déterminer l’amende appropriée, à savoir:

  • la gravité et la durée de l’infraction;
  • le nombre de personnes concernées et le niveau de dommage qu’elles ont subi;
  • le caractère intentionnel de l’infraction;
  • les mesures prises pour atténuer le dommage;
  • le degré de coopération avec l’autorité de contrôle.

Lire plus :

Le règlement fixe deux plafonds d’amendes en cas de non-respect des règles. Dans le premier cas, les amendes pourront s’élever jusqu’à 10 millions d’euros ou, pour une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial. Cette première catégorie d’amendes pourrait être applicable, par exemple, si un responsable du traitement n’effectue pas les analyses d’impact requises par le règlement. Dans le deuxième cas, les amendes pourraient atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Cette catégorie d’amendes pourrait être applicable, par exemple, en cas de violation des droits conférés par le règlement aux personnes concernées. Les amendes sont adaptées au cas par cas, en fonction des circonstances.

 

Source : Commission européenne –  https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations_fr

Actualités dans la catégorie Voir toutes les actualités

New funding opportunity for innovative products and services in zero emission vehicles

What are the E-BOOST Open Calls? E-BOOST is a Eurocluster co-funded by the European Commission under the SMP. It organises Open Calls with the overall aim to identify product innovations in order to reduce dependency on critical inputs and technologies in the E- BOOST value chains, to introduce new-to-firm products or services, and to engage […]
Lire la suite

CBAM : Mécanisme d’ajustement carbone aux frontières

Le mécanisme d’ajustement carbone aux frontières (CBAM) est l’instrument de l’UE qui vise à fixer un prix équitable sur le carbone émis lors de la production de marchandises à forte intensité de carbone, et à encourager une production industrielle plus propre dans les pays non membres de l’UE.
Lire la suite

Consultation on the Single Market Programme

DG GROW has published an open consultation to gather feedback for an interim evaluation of the Single Market Programme  2021-2027.
Lire la suite

Start typing and press Enter to search