Conformité RGPD 2022 : tout savoir pour être aux normes

Protection des données, consentement, mise en conformité et sanctions : le RGPD régit notre quotidien sur le web. La France est l’un des pays européens ayant les règles les plus strictes en la matière. Aussi fiable soit-il, un organisme peut rapidement sortir des clous et risquer des sanctions. Ensemble, faisons un tour d’horizon de cette réglementation à l’enjeu grandissant.

Définir pour mieux comprendre les règles

Concrètement, qu’est-ce que le RGPD ? Le Règlement Général sur la Protection des Données de son nom complet, a pour but de protéger les personnes qui résident au sein de l’Union européenne. Le RGPD est régi par la CNIL, la Commission Nationale de l'Informatique et des Libertés qui est propre à la France.

En plus de jouer un véritable rôle de régulation, la CNIL accompagne les professionnels dans leur mise en conformité. Elle épaule également les particuliers dans la maîtrise de leurs données personnelles et l’exercice leurs droits. Quelle que soit la taille de votre organisme et son activité : il est concerné par le RGPD ! Cela est autant valable s'il est implanté que s'il cible des résidents de l’Union européenne. 

Gestion du fichier de ses clients, collecte de coordonnées de prospects via un questionnaire, création d’une carte de fidélité : de nombreuses activités quotidiennes sur le web utilisent des données personnelles. Elles concernent autant les particuliers que les salariés et professionnels : en bref, toutes les personnes concernées par le stockage de données.

---

Une donnée personnelle, ça comprend quoi au juste ? Elle correspond à toute information liée à une personne physique identifiée ou identifiable. Elle est donc unique à chaque personne. Bon à savoir : un salarié peut demander à son employeur l’accès et la communication des données personnelles qu’il a en sa possession.

Trois mesures à prendre pour une bonne mise en conformité

Quels bons réflexes adopter pour se mettre en conformité ? On vous livre les 3 étapes clés :

• Tenir un registre de données : chaque organisme doit pouvoir recenser les traitements de données et avoir une vision claire de ses activités.
• Miser sur la transparence : à chaque fois que vous recueillez des données personnelles, la personne concernée doit être informée des conditions d’utilisation et de ses droits (vos coordonnées, la raison de la collecte, qui a accès aux données, la durée de conservation, etc.).
• Sécuriser les données : la mise à jour des logiciels antivirus, les sauvegardes ou le choix des mots de passe sont autant de réflexes qui vous permettront de protéger vos données et celles que vous traitez. 

Chaque formulaire comportant une donnée personnelle doit avoir une case permettant à l’internaute d’accepter que l’organisme récolte ses données personnelles. Le consentement est requis en cas de données sensibles, pour leur réutilisation et lors de l’utilisation de cookies à des fins statistiques et/ou commerciales. Il en existe d’ailleurs deux types : les cookies nécessaires au fonctionnement d’un site web et ceux qui sont optionnels (et qui nécessitent un consentement).

Il faut pour cela privilégier des CMP (Plateformes de gestions de contenus : ici, le contenu est représenté par le consentement des internautes) qui se conforment au réglementation RGPD comme Axeptio. Le consentement aux cookies est le plus utilisé dans le traitement des données personnelles. D’ailleurs, le RGPD exige qu’un site web ne les recueille qu’après un consentement explicite aux finalités de leur utilisation.

"Dernière nouveauté : les organismes doivent maintenant pouvoir stocker les consentements des utilisateurs"

Intégrer les risques pour éviter toute sanction

En tant qu’Autorité Administrative Indépendante (AAI), la CNIL est un organisme public qui agit au nom de l'État, de l’intérêt général. Les entreprises privées, les organismes publics, et même les associations peuvent ainsi faire l’objet d’un constat de la Commission de la CNIL.

Cette large mission de contrôle peut s’opérer avec l’aide d’autres organismes européens de protection des données. Lors de contrôles, de plaintes déposées ou de manquements au RGPD constatés, elle peut sanctionner les organismes et les sous-traitants. Le président de la CNIL désigne un rapporteur et saisit la formation restreinte qui se chargeront du dossier.

Quelles sanctions risque-t-on quand on ne respecte pas le RGPD ? Il existe deux types de sanctions :

• Les amendes administratives,
• Les sanctions pénales, entrées en vigueur en 2018.

Le montant de l’amende peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires. Les sanctions pénales, quant à elles, peuvent aller jusqu’à 5 années d’emprisonnement et 300 000 euros d’amende.

Le 31 décembre 2021, une sanction a par exemple été prononcée à l’encontre de la société Facebook. Les manquements retenus : information des personnes et modalités de refus des cookies. Une sanction pécuniaire de 60 000 000 euros et une injonction ont été retenues. 

Ce qu’on peut retenir, c’est que les piliers du RGPD sont la transparence, la responsabilité et la confiance. Dans un monde digital où la donnée personnelle vaut de l’or, son but est avant tout de protéger les personnes et de les sensibiliser aux risques qu’elles encourent. Loin d’être un frein ou une restriction, le RGPD est bénéfique pour les organismes qui souhaitent fonder leur présence digitale sur des bases solides.