RGPD : Cartographie légale

Les obligations des responsables de traitement

Diverses obligations ont été mises à la charge des responsables de traitement et sous-traitants visant à renforcer la protection des données personnelles. Le principe d’accountability exige en effet que des mécanismes et contrôles internes soient mis en place pour répondre aux prescriptions du nouveau règlement. Il s’agit en particulier des mesures de sécurité informatique, qui doivent nécessairement encadrer les traitements de données personnelles et qui s’inscrivent dans une démarche de cartographie légale.

Parmi les autres obligations, l’on trouve celle d’établir une analyse d’impact des traitements de données à caractère personnel, ce qui implique de procéder au recensement des données collectées, de définir les catégories de données personnelles concernées et les objectifs du traitement. A cet égard, la nomination du DPO, obligatoire dans certains cas, permettra d’obtenir de précieux conseils pour mener à bien cette mise en conformité.

Les sanctions en cas de non-conformité

De nombreuses décisions nationales ou émanant d’autres états européens témoignent de la judiciarisation croissante du traitement de données à caractère personnel. Aussi, les sanctions consacrées par le RGPD appellent à la sécurisation des systèmes d’information et à la gestion raisonnée des flux de données. Outre le droit à réparation du dommage causé par un traitement de données en violation du règlement (Art. 82 RGDP), le texte prévoit notamment des amendes administratives dissuasives : selon l’article 83 du RGPD, celles-ci peuvent s’élever à 10 000 000 d’euros ou, dans le cas d’une entreprise, à 2 % du chiffre d’affaires annuel mondial.

La gouvernance des données personnelles figure au centre des préoccupations du législateur européen. Elle s’insère dans une perspective qui vise à satisfaire des velléités tant juridiques, à travers le respect des droits et libertés fondamentaux, qu’économiques, avec la volonté de faciliter le commerce des données.