RGPD: de quoi s’agit-il ? quelles conséquences pour les start-up ?

Pour cette nouvelle année notre cas pratique porte sur un sujet en pleine actualité : le RGPD.

Ce mois, nous avons reçu Alexandre, jeune entrepreneur, afin de répondre à ses interrogations face à l’entrée en vigueur du Règlement européen sur la protection des données (RGPD).

Le RGPD crée la fonction de Délégué à la protection des données (DPO). Quelle est sa fonction ? Est-il obligatoire ?

Le DPO est le successeur du correspondant informatique et libertés, avec des prérogatives et des missions renforcées. Il a un rôle de conseil et de contrôle sur la mise en oeuvre du dispositif. Il a également une fonction pivot au sein de l’entreprise et fait le lien avec la CNIL et les utilisateurs.

Le DPO n’est obligatoire que si l’activité exercée récolte des données personnelles à grande échelle ou relatives à des condamnations pénales. Toutefois, il est conseillé de recourir à ses services pour coordonner l’opération de traitement.

Le DPO peut être un membre du personnel, même sous-traitant, ou exercer ses missions sur la base d’un contrat de service.

Conseil : le DPO, que vous nommez, doit avoir une formation juridique étendue et des connaissances pointues en matière de protection des données. Et surtout, il doit exercer cette fonction en toute indépendance !

Deuxième question de notre jeune entrepreneur : je fais régulièrement appel à des sous-traitants, suis-je responsable de leur traitement de données ?

Le RGPD instaure une responsabilité totale pour tous les acteurs traitant de la donnée, qu’ils soient donneurs d’ordres ou sous-traitants. Le donneur d’ordre, c’est-à-dire vous, devra s’assurer que ses prestataires sont en conformité avec le règlement et inversement. A défaut, vous engagerez votre responsabilité.

Conseil : se protéger au maximum en insérant une clause dans les contrats avec les sous-traitants, par laquelle ils certifient protéger leurs données et leur demander régulièrement de fournir les justificatifs de conformité.

Si j’anonymise mes données est-ce que je sors du champ d’application du RGPD ?

Le RGPD libère bien l’entreprise de ses obligations sur les données anonymisées. Cependant, l’anonymisation peut être immédiate ou ultérieure. Lorsque la donnée n’est pas cryptée initialement, le processus permettant sa transformation reste soumis au RGPD.

En cas de non respect quels sont mes risques ?

Les sanctions ont été renforcées avec le RGPD. En cas d’infraction, l’amende maximale est portée à 20 millions d’euros ou 4 % du CA mondial annuel, le montant le plus important étant retenu.

Conseil : anticiper le nouveau cadre légal et entamer le plus rapidement possible le processus de mise en conformité.

Répondre

Saisissez votre commentaire
Saisissez votre nom ici