Quelle mise en conformité doivent effectuer les entreprises en 2024 ?

Suite à une création d’entreprise, le chef d’entreprise est soumis à de nombreuses obligations. Parmi elles, la mise en conformité est l’une des plus importantes, et pourtant, bien souvent négligée. L’obligation de mise en conformité est récente, et découle du Règlement Général sur la Protection des Données, dit RGPD, dont les dispositions sont applicables en France depuis 2018. 

Qu’est-ce qu’une mise en conformité ? Comment effectuer sa mise en conformité au RGPD ? Quelles sont les sanctions d’une absence de mise en conformité ? Legalstart fait le point avec vous. 

Mise en conformité : définition 

Qu’est-ce qu’une mise en conformité au RGPD ?

Une mise en conformité au RGPD est une obligation incombant à toutes les entreprises de l’Union européenne. Ces entreprises doivent s’assurer que leur politique respecte bien les dispositions prévues par le RGPD. 

Le RGPD, ou Règlement Général sur la Protection des Données, encadre le traitement des données personnelles au sein de l’Union européenne, et a été adopté en 2016. Les dispositions de ce règlement européen ont été transposées en droit français par la loi informatique et libertés, entrée en vigueur le 25 mai 2018. 

Une donnée personnelle est définie par la CNIL comme étant « toute information se rapportant à une personne physique identifiée ou identifiable ». Cette identification peut être faite directement (avec l’utilisation du nom de la personne par exemple), ou indirectement (avec l’utilisation de son numéro de téléphone par exemple). 

Dès lors qu’une donnée personnelle est utilisée, il s’agit d’un traitement de donnée. 

Le règlement général sur la protection des données s’applique à tous les organismes établis sur le territoire de l’Union européenne ou dont l’activité cible directement des ressortissants des pays de l’Union européenne. 

Quels sont les grands principes du RPGD à respecter ? 

Le RGPD prévoit 6 grands principes devant être respectés pour qu’une entreprise se mette en conformité : 

• la donnée collectée doit être traitée de manière loyale par l’entreprise : l’utilisation de l’information doit se faire en toute transparence après avoir recueilli le consentement de la personne concernée ;  
• le traitement de la donnée doit avoir un but défini : le traitement de la donnée ne peut dépasser le but initialement défini ; 
• le traitement des données doit être minimal : l’utilisation de la donnée doit être strictement limitée à ce qui est nécessaire au regard du but défini ;
• les données utilisées doivent être mises à jour ; 
• les données doivent être supprimées une fois que leur conservation n’est plus nécessaire au regard de l’objectif établi ; et
• le traitement des données doit être effectué de façon à garantir la sécurité des données à caractère personnel.  

Quelles sont les obligations générales d’une mise en conformité ? 

La mise en conformité d’une entreprise au RGPD passe par le respect de certaines obligations générales. L’une des obligations les plus importantes dans le traitement des données personnelles est la transparence. L’organisme qui collecte des données personnelles doit être le plus transparent possible avec les utilisateurs. Pour ce faire, l’entreprise doit pouvoir donner des informations sur le traitement des données effectué. Ces informations doivent être claires, précises et accessibles pour permettre à tous les utilisateurs de donner sciemment leur consentement. 

De plus, l’organisme doit préciser dans les conditions générales d’utilisation un certain nombre d’informations, notamment : 

• l’identité et les coordonnées du responsable et destinataire du traitement des données ;
• le but du traitement des données ; 
• le caractère non obligatoire de la collecte ;
• la durée de conservation des données ; et
• les droits de l’utilisateur : demande de suppression, de rectification, d’accès ou d’opposition au traitement de ses données personnelles. 

Quelle est la démarche de mise en conformité au RGPD ? 

• Étape 1 : l’analyse du traitement des données de l’entreprise et des dispositions du RGPD : Pour pouvoir se mettre en conformité, il faut tout d’abord analyser de quelle manière l’entreprise recense les données personnelles des utilisateurs. Cette analyse peut prendre la forme d’une “cartographie” ; il s’agit d’une représentation visuelle permettant de faciliter la compréhension de l’analyse faite.
   
• Étape 2 : la mise en conformité effective : Une fois la cartographie des traitements des données réalisée, il faut établir un plan de mise en conformité au RGPD. Ce plan doit déterminer les actions à mener pour pouvoir se conformer aux dispositions prévues par le RGPD. Lorsqu’une mise en conformité a été faite, il faut maintenir cette conformité au RGPD en organisant un processus interne permettant la vérification de la conformité au RGPD et l’appréhension les évènements futurs pouvant porter atteinte à la protection des données personnelles. 

Quels sont les sanctions lorsque aucune mise en conformité n’a été effectué par l’entreprise ? 

Sanctions administratives 

Le règlement général sur la protection des données (RGPD) prévoit que des sanctions peuvent être prononcées par une autorité de contrôle à l’encontre d’une entreprise en cas de non-conformité. 

En France, l’autorité de contrôle de la conformité au RGPD est la CNIL (Commission Nationale de l'Informatique et des Libertés). La CNIL est compétente pour prononcer des sanctions administratives à l’encontre des organismes soumis au respect du RGPD. Ces sanctions peuvent aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires lorsqu’il s’agit de manquements relatifs à la mise en conformité ; et jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires lorsqu’il s’agit de manquements relatifs aux droits des personnes.

Sanctions pénales 

Il existe également des sanctions pénales pouvant être prononcées par le Tribunal judiciaire, découlant d’une absence de mise en conformité par un organisme : 

• en cas de collecte de données personnelles sans avoir informé la personne concernée au préalable, l’auteur de cette collecte s’expose à une amende de 1.500 € ; 
• lorsqu’un organisme refuse la rectification ou la suppression d’une donnée personnelle, une peine de 1.500 € d’amende peut être prononcée par le Tribunal judiciaire; et, 
• le fait de détourner une donnée personnelle de sa finalité est passible de 5 ans d’emprisonnement et 300.000 € d’amende.   

FAQ

Est-ce que le RGPD s’applique aux associations ? 

La mise en conformité au RGPD est obligatoire pour tout organisme se trouvant dans l’Union européenne ou s’adressant à un marché d’un pays membre de l’Union européenne. Les associations sont donc également soumises au respect des dispositions prévues par le RGPD. 

Comment est contrôlé le respect de la conformité d’un organisme au RGPD ? 

Le contrôle de la mise en conformité d’un organisme au RGPD est effectué par une autorité de contrôle désignée. En France, cette autorité de contrôle est la CNIL. Cette dernière est compétente pour sanctionner les manquements aux obligations prévues par le RGPD. 

Est-il possible pour un utilisateur de demander à un organisme la suppression des données personnelles collectées ? 

Oui, le but du RGPD est la protection des intérêts des utilisateurs. Ce règlement octroie donc le droit aux utilisateurs de demander à un organisme la suppression de ses données personnelles collectées. L’utilisateur a également le droit de demander l’accès à ses données, de s’opposer au traitement de ses données ou encore, exiger une rectification de ses données. 

Principales sources législatives et réglementaires :

• Article 5 - RGPD
• Article 83 - RGPD
• Article 226-21 - Code pénal
• Article R625-12 - Code pénal
• Article R625-10 - Code pénal
• La loi Informatique et Libertés