RGPD, un peu plus d'un an après
-Pour rappel, les entreprises ont actuellement l’obligation de mettre leur structure en conformité avec le RGPD.
il s’agit d’une obligation édictée envers toute entreprise, par le Règlement général sur la protection des données, adopté par le Parlement Européen le 14 avril 2016 et applicable depuis le 25 mai 2018 dans les Etats membres, dont la France.
L’objectif principal de ce Règlement est la protection des données personnelles de tout acteur du monde de l’entreprise : salariés, stagiaires ou encore clients (/patients) et partenaires commerciaux.
Le non-respect de ce texte expose l’ensemble des entreprises à des sanctions pouvant s’élever jusqu'à 20 000 000 Euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu (article 83 du RGPD).
L’actualité récente démontre que des sanctions sont fréquemment prises par la CNIL à l’encontre des TPE-PME, en cas de non-respect du RGPD.
Les GAFA (GOOGLE, APPLE, FACEBOOK et AMAZON), ne sont malheureusement pas les seules entreprises touchées.
Pour exemple figurant sur le site internet de la CNIL : en date du 18 juin 2019, UNIONTRAD COMPANY (petite entreprise composée de 9 salariés, spécialisée dans la traduction) a été condamnée par la CNIL au paiement d’une amende de 20 000 euros d’amende pour non-respect du RGPD.
Le 6 juin 2019, la société SERGIC, spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière, a été condamnée à une amende de 400 000 Euros, également pour non-respect du RGPD.
Les entreprises doivent donc veiller, si ce n’est pas encore fait, à se mettre en conformité avec les obligations édictées par le RGPD, dans les conditions suivantes :
- Audit des risques RGPD ;
- Prise de conscience et mise en place des mesures correctrices et notamment : désignation du responsable de traitement des informations personnelles ;
- Mise en place de l’information du salarié/stagiaire/client/patient sur le traitement des données et ce, de manière contractuelle ;
- Mise en place du registre.
Maxence PERRIN
Avocat à DIJON en droit des affaires
Commentaires
Rédigez votre commentaire :
Les réactions des internautes
<% comment.content %>
<% subcomment.content %>