[vc_row][vc_column][vc_column_text]Depuis le 25 mai 2018, toutes les entreprises et organisations de l’Union Européenne doivent être en conformité avec le RGPD. Dans la réalité, les services publics et les grandes entreprises ont rapidement avancé sur le sujet mais les PME sont notablement à la traine…

Pourtant la loi prévoit des amendes pouvant atteindre jusqu’à 4% du chiffre d’affaires en cas de manquement… Quels sont les risques réels ?

C’est la CNIL (Commission Nationale Informatique et Libertés) qui est chargée en France de procéder aux contrôles et de délivrer les sanctions.

Concrètement, c’est plusieurs centaines de contrôles qui sont réalisés chaque année depuis 2018 avec des sanctions qui vont du simple avertissement et demande de mise en conformité sans délai à des amendes qui se sont chiffrées en millions d’euros !

Les contrôles sont réalisés à l’initiative de la CNIL qui va intervenir soit sur une thématique (données médicales, vidéosurveillance…) soit de manière aléatoire ou encore sur dénonciation (plainte en ligne sur le site de la CNIL).

C’est le Procureur de la République territorialement compétent qui va piloter le contrôle et permettre aux contrôleurs de la CNIL de mener leur mission avec des pouvoirs étendus : demande de documents, accès à vos locaux, accès à vos bases de données, interrogatoire de salariés, clients, sous-traitants…

Il est conseillé dans ce cas de figure de se faire assister par un avocat spécialisé et de coopérer de bonne foi, la conformité au RGPD étant un exercice complexe et rigoureux, le risque de ne pas être complétement conforme est à ce jour très important !

A minima, la CNIL vous demandera votre registre des traitements et vos contrats de services avec les sous-traitants mais elle peut aussi investiguer plus profondément, y compris en faisant intervenir les experts de l’ANSSI, l’agence nationale de la sécurité des systèmes d’information, qui dispose de très fortes compétences en cyber sécurité.

La CNIL décide ensuite de la clôture du contrôle soit en émettant un courrier avec des recommandations (correctifs à réaliser et à communiquer par la suite avec un délai), soit directement une mise en demeure de remédier aux manquements constatés, soit directement une procédure de sanction.

Au-delà de cette procédure qui, sauf dénonciation ou plainte, a peu de chance de concerner une petite entreprise régionale, il faut noter une pression de plus en plus forte de la part des services publics et des grandes entreprises donneuses d’ordre. Des courriers recommandés arrivent de plus en plus dans les petites entreprises pour leur signifier que sans preuve de leur conformité au RGPD, ces organisations se verraient dans l’obligation de changer de sous-traitant ou de prestataire…

Le sujet n’étant pas simple, Numéral considère que toutes les entreprises doivent aborder le plus rapidement possible cette mise en conformité et va proposer à ses clients des réunions d’information, des formations et un accompagnement dans cette démarche.[/vc_column_text][/vc_column][/vc_row]