FICHE 3: Je ne suis pas en conformité, qu’est-ce que je risque ? (Le petit vrai / faux du RGPD )

Comprendre le vrai du faux en matière de mise en conformité RGPD: Non conforme qu’est ce que je risque? TPE je ne suis pas concerné par le RGPD? La mise en conformité un vrai casse-tête? Et si on vérifiait point par point ces questions que toutes les entreprises se posent encore?

 

  • Petite entreprise (TPE/PME), je ne me sens pas visée par le RGPD 

 

FAUX : la taille de l’entreprise n’a AUCUNE importance.

 

Tout ce qui compte pour savoir si vous êtes soumis au RGPD est de répondre à ces deux questions :

 

  1. Est-ce que vous effectuez des traitements de données à caractère personnel (cf fiche 2 pour les définitions) ? la réponse est à 99,99% oui !
  2. Est-ce que vous êtes implantés dans un pays membre de l’UE ou est-ce que vous ciblez des personnes se trouvant sur le territoire d’un Etat membre de l’Union Européenne ?

 

Si vous répondez « OUI » à ces deux questions, vous devez vous mettre en conformité avec le RGPD.

 

 

 

  • Le RGPD a été adopté pour lutter contre les dérives des GAFA, en tant que PME je ne risque rien ?

 

VRAI et FAUX 

 

 

Oui l’un des objectifs du RGPD était de soumettre les géants de l’internet aux règles Européennes, mais pas seulement !

 

Le RGPD a été rédigé de telle sorte que les GAFA ne puissent pas contourner l’application des principes de protection des données personnelles sous couvert de ne pas avoir établi leurs serveurs sur le territoire d’un Etat membre de l’Union Européenne.

 

C’est pour cela que le RGPD fait référence dans sa définition du champ d’application territorial à la notion de « traitement ciblant les personnes situées sur le territoire de l’UE ».

 

Néanmoins les principes portés par le RGPD n’ont pas vocation à ne viser que les seuls GAFA.

Toutes les entreprises sont concernées, et doivent amorcer leur mise en conformité dès à présent, car le chantier peut être long et important.

 

La CNIL a par ailleurs par le passé (et sous la loi LIL) sanctionné des entreprises de toutes petites tailles.

 

Par exemple une entreprise de 3 salariés ayant pour activité la réalisation de travaux d’étanchéification, pour avoir installé un système de vidéosurveillance au-dessus du poste de travail de l’une de ses salariée à l’insu de cette dernière.

 

Pour plus de détails sur cette sanction :

 https://www.legifrance.gouv.fr/affichCnil.dooldAction=rechExpCnil&id=CNILTEXT000035175069&fastReqId=1125364464&fastPos=3

 

 

  • La CNIL a indiqué qu’elle allait être conciliante, et qu’elle ne sanctionnerait pas les PME pendant une période de 2-3 ans à compter de l’application du RGPD ; je ne risque donc rien jusqu’en 2021 ?

FAUX

On entend beaucoup parler du « délai de grâce » qu’accorderait la CNIL aux entreprises depuis le 25 mai 2018 pour se mettre en conformité.

La CNIL, contrairement à d’autres autorités de contrôles de pays de l’UE tient à son rôle de conseil aux entreprises. Elle n’entend effectivement pas sanctionner tout azimut le moindre manquement mais souhaite dans un premier temps aider les entreprises à se mettre en conformité avec les nouveaux principes édictés par le RGPD.

 Elle a ainsi indiqué que pour des manquements à ces nouveaux principes, elle ne prononcerait probablement pas dans un premier temps de sanctions financières, mais procéderait par la voie de la mise en demeure.

 

Néanmoins, la CNIL fera, lors des contrôles, la différence entre le non-respect des principes antérieurs au RGPD, et pour beaucoup vieux de 40 ans (datant de la loi LIL de 1978) et les nouveaux principes pour lesquels elle sera plus tolérante.

 

Attention donc, car pour exemple, en 2017 la CNIL a condamné un chirurgien dentiste, exerçant sous la forme d’une Société d’exercice libéral à responsabilité limitée et employant uniquement deux salariés au versement de la somme de 10.000,00€ pour non respect du droit d’accès du patient à son dossier médical et non réponse à la CNIL

 https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000034899556&fastReqId=2029394562&fastPos=1

 

Les sanctions existaient donc déjà et il est certain que la CNIL risque d’y avoir recours encore plus à l’avenir pour voir d’ores et déjà respectés des principes existants depuis une trentaine d’années…

Ainsi, il convient dans tous les cas de se rafraîchir la mémoire quant aux règles précédemment applicables pour s’assurer que ces dernières sont effectivement appliquées et ainsi envisager à cette même occasion, un état des lieux et un plan d’action pour la mise en application des nouvelles règles.

 

Le cabinet vous accompagne dans cette démarche de mise en conformité.

 

Pour plus de renseignements n’hésitez pas à nous contacter : https://www.agathedegromard-avocat-bordeaux.fr/contact/

 

 

  • La CNIL pourrait sanctionner les entreprises et mettre des amendes allant jusqu’à 4 millions d’euros ?

 

VRAI et FAUX

 

 Le RGPD a augmenté les plafonds des sanctions financières qui pourront être prises par la CNIL (avant l’entrée en vigueur du RGPD les anctions financières étaient limitées à 150 000,00 €).

 

Aujourd’hui, le montant de la sanction varie en fonction de la gravité du manquement, et peut s’élever à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.

 

Pour vérifier votre conformité et faire un bilan des dispositifs à mettre en oeuvre: contactez nous : https://www.agathedegromard-avocat-bordeaux.fr/contact/