Les données personnelles concernent toutes les informations nous concernant que l’on révèle lorsqu‘on se balade sur Internet : notre nom, notre âge, le numéro de carte bancaire, nos centre d’intérêts… La protection de ces données est importante pour les garder loin de tout usage malsain.
La préservation des données personnels : une obligation pour les organismes
La loi informatique sur la préservation de données personnelles est prévue par le Règlement Général sur la Protection des Données (RGPD). Ce règlement européen est valable les pays membres de l’Union Européenne, et concerne plus précisément la manière dont les organismes doivent traiter les données.
Le RGPD est stricte concernant les procédures de traitement des données, de transparence, de documentation et de consentement utilisateur. Cela est important afin de mieux protéger les droits et les libertés des personnes physiques, mais aussi pour contrôler la façon dont les informations seront utilisées.
Les organismes sont tenus d’informer les utilisateurs sur :
- Le type de données traitées ;
- Les finalités du traitement des données ;
- Les pays et les tiers auxquels les données seront transmises.
La législation sur le registre simplifié RGPD
La tenue du registre
Tout organisme employant plus de 250 personnes est dans l’obligation de tenir un registre. Mais cette obligation peut également concerner ceux qui en ont moins, surtout si ceux-ci traitent des données sensibles comme des informations relatives à des condamnations ou à des infractions ou des informations pouvant porter atteinte aux droits et libertés des personnes concernées.
Concernant le sous-traitant en charge de données personnelles pour le compte d’un organisme, le RGPD l’oblige également à tenir un registre. Celui-ci doit mentionner dans le registre la liste des activités réalisées pour le compte des clients.
Le fonctionnement du registre
L’obligation de tenir un registre est prévue par l’article 30 du Règlement Général sur la Protection des Données, et celui-ci doit permettre d’identifier :
- Le nom du responsable du traitement des données, ou du délégué à la protection des données (Data Protection Officier, « DPO ») ;
- Les catégories de données traitées ;
- Les finalités des données ;
- Les parties ayant un droit d’accès et de transferts des données ;
- La durée de conservation des données ;
- Les délais prévus pour l’effacement des données ;
- La sécurité des données.
Cependant, tenir un registre ne suffit pas pour être conforme aux normes imposées par le RGPD. Il faudra effectuer une analyse d’impact sur le traitement des données sensibles, garantir la sécuritédes données lors des transferts hors UE et garantir une meilleure protection des données collectées.
Vous pouvez voir ici un modèle de registre simplifié RGPD, pour une tenue optimale des activités de votre organisme.
Les sanctions en cas de non-respect du RGPD
La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité de contrôle compétente en matière de RGPD. Cette dernière est dans la capacité de recourir à des sanctions administratives en cas de non-respect du règlement.
Concernant les sanctions pécuniaires, le montant peut s’élever jusqu’à 20 millions d’euros. Pour les entreprises, la CNIL peut exiger jusqu’à 4 % du chiffre d’affaires annuel mondial.
Lorsque des violations au RGPD ou à la loi sont portées à la connaissance de la CNIL, celle-ci peut :
- Emettre un rappel à l’ordre ;
- Ordonner de conformer les traitements ;
- Limiter temporairement ou définitivement tout traitement en cours ;
- Suspendre les transferts de données ;
- Prononcer une amende administrative.
Les sanctions pénales
L’article 84 du RGPD permet aux Etats membres de l’UE d’instaurer des sanctions supplémentaires en cas de violation du RGPD. On parle alors de mettre en place des sanctions concernant les violations qui ne font pas l’objet d’amendes administratives.
Les sanctions pénales peuvent s’élever jusqu’à 5 ans d’emprisonnement et 300 000€ d’amende.