Quelles obligations pour les entreprises ?
De manière générale, les entreprises devront désormais fournir des informations précises sur leur pratique de collecte de données afin de mieux informer les usagers sur la façon dont leurs données sont traitées.
Le GDPR supposent qu’une entreprise doit savoir :
- De quelles données elle dispose
- De quelle manière elle les collecte
- Leur localisation
- L’objectif de leur collecte
- Leur mode de gestion, de stockage et de sécurisation
- Leur possibilité de transfert et d’effacement.
Ainsi les entreprises doivent veiller à ce que seules les informations nécessaires à la finalité de leur activité soient collectées et elles ne devront les conserver que pour une durée définie. Elles doivent également être en mesure de garantir leur accès, leur modification, leur restitution et leur effacement à la demande des individus concernés.
Pour les entreprises de plus de 250 collaborateurs, la fonction de Délégué à la Protection des Données ou « Data manager » est rendue obligatoire. Au sein de l’entreprise, cette personne est en charge de la mise en conformité, elle est donc amenée à travailler avec les différentes directions métier. Ce ou cette responsable du traitement des données sensibles devra mettre en oeuvre toutes les directives de l'Etat.
Il est notamment conseillé d’informer et d’éduquer l’ensemble des collaborateurs de l’entreprise sur les procédures à respecter dans la collecte, le traitement et la portabilité des données personnelles.
Les sanctions encourues
En cas de méconnaissance des dispositions du règlement, des sanctions importantes pourront être prise contre les entreprises. Les amandes peuvent grimper jusqu’à 20 millions d’euros et jusqu’à 4% du chiffre d’affaires mondial.