Depuis deux ans le RGPD est dans les tuyaux et depuis des mois le sujet est devenu incontournable dans les entreprises et sur le web. Cette fois ça y est, le 25 mai est passé et le Règlement général de protection des données européen est officiellement mis en application. Après avoir entendu et lu tout et son contraire sur le sujet, il est temps de démêler le vrai du faux et de voir ce qui vous attend réellement.
Les entreprises risquent de fortes amendes dès aujourd’hui si elles ne sont pas conformes à la nouvelle règlementation.
FAUX.
La mise en application du règlement général sur la protection des données personnelles (RGPD) a effectivement commencé ce 25 mai. Mais une période de rodage avant sanction sera observée. Si la CNIL constate qu’aucune disposition pour se conformer n’a encore été prise et qu’il n’existe aucun plan d’action au sein de votre entreprise, elle vous avertira d’abord officiellement que vous n’êtes pas en conformité avec la loi. Vous aurez un délai supplémentaire pour devenir conforme, si vous les ignorez, alors vous aurez une amende.
Les amendes peuvent aller jusqu’à 20 millions d’euros
VRAI
Les amendes peuvent s’élever jusqu’à 4% du chiffre d’affaires global de l’entreprise jusqu’à un montant maximal de 20 millions d’euros. 20 millions c’est donc le maximum de l’amende qui est volontairement aussi élevé pour s’assurer que même Facebook et Google se sentiront concernés.
Je risque une très grosse amende à la moindre transgression du RGPD
FAUX
Les amendes seront proportionnelles à la transgression. Bien sûr, les entreprises et organismes concernés qui ne font rien après avertissement de la CNIL s’exposent à des sanctions plus lourdes. En cas de transgressions répétées sur le même sujet, les amendes risquent également d’être augmentées.
Le RGPD m’oblige à recruter une personne chargée du respect de la « vie privée »
FAUX
Aucun recrutement n’est imposé par le RGPD. Le nouveau règlement exige uniquement que l’entreprise compte dans son personnel une personne référente et en charge du respect de la protection des données.
Le RGPD va aussi concerner mes prestataires, je vais donc devoir en changer
VRAI et FAUX
Toute entreprise gérant des données est soumise au RGPD. Si vos prestataires gèrent vos données alors ils seront soumis à la même réglementation. Sans forcément changer de sous-traitant, il est recommandé aux entreprises de revoir les contrats qui les lient à leurs prestataires pour y inclure cet engagement de respect du RGPD. Il est évidemment préférable de privilégier des prestataires français déjà soumis à la même réglementation. ATTENTION, le sous-traitant n’est responsable que de ses propres manquements à la loi, en aucun cas il ne sera tenu responsable des manquements de ses clients, responsables de traitement.
Le traitement de toutes les demandes de suppression de données des utilisateurs va demander un travail énorme
FAUX
Si la collecte de données peut être automatisée, la suppression de données peut l’être aussi.
Je ne peux plus proposer de newsletter
FAUX
Vous pouvez continuer à proposer des abonnements aux newsletter. Si votre newsletter n’inscrit pas automatiquement les utilisateurs, alors vous respecter le RGPD. Si par exemple, les utilisateurs doivent fournir leur adresse mail pour recevoir leur newsletter cela signifie qu’ils donnent leur consentement et que vous respectez donc la loi.