Conformité RGPD & exercice de droits : où en est mon entreprise ? Quels sont les risques encourus ?

23 Mai 2024 | Actualités, Numérique

42, c’est le nombre de sanctions prises par la CNIL en 2023 pour un montant total de près de 90 millions d’euros. 8 organismes ont notamment été sanctionnés pour manquement à l’exercice de droits, en particulier le droit d’accès aux données personnelles et le droit d’opposition au traitement de données personnelles. Une thématique de contrôle qui devrait prendre de l’ampleur en 2024, la CNIL ayant fait du droit d’accès l’une de ces priorités cette année.

Le montant de la sanction pour non-respect des droits des personnes peut aller jusqu’à 4% du chiffre d’affaires annuel de l’entreprise. En 2023, un éditeur de site web écopait de 5 000 euros d’amende avec injonction de mise en conformité pour manquement au droit d’opposition et défaut de coopération avec la CNIL. Une revue littéraire française se voyait infliger le double pour les mêmes motifs. Médecins, chirurgien-dentiste, orthophoniste : les professionnels de santé n’étaient pas non plus épargnés avec des sanctions allant de 3 000 à 5 000 euros.

Toute personne concernée dispose de droits lui permettant de conserver la maîtrise de ses données : possibilité d’exercer son droit d’opposition à la réception d’une newsletter, de demander l’effacement de ses données enregistrées dans un programme de fidélité, d’accéder à ses données figurant dans un dossier médical …

La CNIL, destinataire de signalements, parfois anonymes, indique avoir instruit plus de 16 000 plaintes en 2023.

Mettre sa TPE-PME en conformité RGPD !

Dirigeants d’entreprise, il est plus que temps, si ce n’est pas déjà fait, de mettre votre TPE, PME ou site d’e-commerce en conformité avec le Règlement Général sur la Protection des Données sur le volet des demandes d’exercice de droits.

Informer de manière transparente et explicite les personnes concernées telles que vos prospects, clients, fournisseurs ou salariés sur la manière dont elles peuvent exercer leurs droits puis, le cas échéant, traiter dans les meilleurs délais les demandes d’exercice de droits reçues, au plus tard dans un délai d’un mois.

Pour certaines demandes complexes, ce délai de traitement peut être allongé de deux mois supplémentaires, à condition d’en informer la personne concernée et de motiver ce report.

Comment répondre à ces demandes avec exhaustivité dans les délais impartis ?

  1. Au préalable, informer les personnes concernées sur la manière dont elles peuvent exercer leurs droits, en indiquant qui contacter et comment au bas d’un formulaire de contact ou d’une newsletter, via la politique de protection des données accessible sur votre site web, ….
  2. Une fois la demande reçue :
  3. Si besoin, vérifier l’identité de la personne
  4. Si nécessaire, lui demander sur quelles données porte la demande
  5. Répondre à la demande en respectant les délais

En cas d’exercice de droit d’accès, les données enregistrées dans un logiciel métier peuvent être transmises à l’aide d’impressions écran par exemple. Une conversation téléphonique avec un service client peut être retranscrite. Dans tous les cas, il est indispensable d’informer la personne sous un délai d’un mois maximum.

Au-delà du risque de perte financière, c’est l’image de votre entreprise qui est en jeu, alors … n’attendez plus, mettez-vous en conformité RGPD !

Pour vous guider dans vos premiers pas vers la gestion de l’exercice de droits, vous pouvez consulter le site de la CNIL en cliquant sur le lien suivant : https://www.cnil.fr/fr/respecter-les-droits-des-personnes.

Vous rencontrez des problèmes de conformité RDPD ? Contactez-nous !

Isabelle Guibert

Cet article a été rédigé par :

Isabelle Guibert

Présidente – KYBERNA

Spécialisée en conformité et en gestion des risques financiers, avec un parcours professionnel international de plus de vingt-cinq ans, dans l’industrie et dans le secteur bancaire, Isabelle Guibert a fondé KYBERNA en 2018. Consultante opérationnelle et formatrice pour adultes, Isabelle est Déléguée à la Protection des Données externalisée.

Site internet | LinkedIn

1ère organisation patronale

Rejoignez
la 1ère organisation représentative
des chefs d’entreprises