Désigne l’obligation, pour les entreprises, d’être en mesure de démontrer à tout moment leur conformité au RGPD par l’élaboration de documents et de procédures internes attestant de la mise en œuvre des dispositions du règlement.

les amendes administratives prononcées par la CNIL augmentent.

Le RGPD a augmenté de façon significative les amendes qui peuvent être prononcées par la CNIL en cas de manquement aux obligations du RGPD.

La loi Informatique et Libertés prévoyait déjà une amende pouvant aller jusqu’à 150.000 euros pour un premier manquement.

La loi pour une République numérique du 7 octobre 2016 a durci cette sanction en fixant un plafond de 3 millions d’euros.

A compter de l’entrée en vigueur du RGPD, le 25 mai 2018, les entreprises pourront se voir infliger une amende pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial pour un manquement à l’obligation de tenir un registre des traitements par exemple.

Le Règlement prévoit une gradation des sanctions. En cas de manquement à l’obligation de recueillir le consentement des personnes, une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffres d’affaires annuel mondial pourra être infligée à l’entreprise. Le montant le plus élevé étant celui qui sera retenu par la CNIL.

Enfin, à noter que le fait de ne pas se mettre en conformité avec le RGPD pourrait se révéler néfaste en termes de réputation. En effet, la CNIL conserve la possibilité de rendre publiques les sanctions qu’elle inflige, ce qui ferait courir le risque d’une perte de confiance des clients de plus en plus attachés à la protection de leurs données personnelles.

Nouveau droit instauré par le RGPD permettant aux personnes dont les données personnelles sont traitées de recevoir les données qu’elles ont fournies à un responsable de traitement, dans un format structuré, couramment utilisé et lisible par une machine. Ce droit permet également aux personnes concernées de demander au responsable de traitement le transfert de leurs données à un autre responsable de traitement qu’elles auront désigné.

Le RGPD, tout comme la loi Informatique et Libertés, imposent une durée de conservation des données à caractère personnel, durée qui doit être limitée et proportionnelle aux finalités des traitements mis en œuvre.

Pour cela, le responsable de traitement doit déterminer de manière raisonnable la durée de conservation en fonction des nécessités du traitement et, éventuellement, des obligations légales lui imposant une durée précise. A titre d’exemple, la loi impose une conservation des bulletins de paie des salariés pendant 5 ans, ou encore la conservation des bons commandes et factures pendant 10 ans.

Les personnes concernées doivent être informées de la durée de conservation pendant laquelle l’entreprise responsable de traitement pourra conserver leurs données ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée.

A cette fin, les Conditions Générales d’Utilisation et les Politiques de confidentialité des sites internet devront, à compter du 25 mai 2018, indiquer soit une durée de conservation prédéfinie, soit indiquer les fondements et les critères permettant de définir cette durée. Les entreprises devront se conformer à la durée indiquée.

A noter : la sanction prévue par le RGPD en cas de non-respect de l’information des personnes quant à la durée de conservation de leurs données pourra aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel.

Au titre des obligations du RGPD, l’information des personnes dont les données sont traitées a une importance capitale. Cette obligation, qui était déjà à la charge des responsables de traitement, est renforcée par le Règlement.

Le RGPD énumère les informations à fournir aux personnes au moment où leurs données sont collectées. Outre les informations traditionnelles relatives notamment à l’identité du responsable de traitement et aux finalités du traitement, les coordonnées du DPO et les nouveaux droits des personnes devront figurer au titre de ces informations.

Il est donc recommandé de mettre à jour les Conditions Générales d’Utilisation ou les Politiques de Données personnelles des sites internet afin d’y faire figurer :

• les coordonnées du DPO, s’il en a été désigné un ;
• le droit à la portabilité des données ;
• le droit à la limitation du traitement dans certaines hypothèses ;
• le droit pour les personnes de retirer leur consentement au traitement lorsque celui-ci est requis ;
• le droit d’introduire une réclamation auprès d’une autorité de protection des données ;
• l’existence d’une prise de décision automatisée ou d’un profilage, le cas échéant.

Il conviendra d’attendre le vote de la loi relative à la protection des données personnelles pour savoir si l’exhaustivité de ces informations devra également figurer dans les formulaires de collecte de données ou si un nombre restreint de ces informations, comme le prévoit actuellement la loi Informatique et Libertés (identité du responsable de traitement, finalités du traitement, droits des personnes), pourra y figurer.