Quels sont vos risques ?

Une des grandes « avancées » du RGPD réside dans le montant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du  chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. De ce fait, il convient de bien appréhender les risques pouvant conduire à l’application de ces amendes. Nous en avons identifié 9 principaux :

Vices du consentement 

Dans le cadre d’une nécessité du consentement : le consentement n’a pas été donné de manière libre, spécifique et informée; le consentement n’a pas  été donné pour une ou des finalités précises; Carrefour ne peut pas prouver que ce consentement a été exprimé.

Collecte de données inappropriées

Des données personnelles illégitimes au regard de la ou des finalités du traitement sont collectées. Par exemple : des données physiques (taille, poids…) sont demandées pour se porter candidat à une offre d’emploi.

Sécurisation insuffisante des données

Le niveau de sécurité des données en place est insuffisant au regard de la probabilité et de la gravité des risques ainsi que de la finalité du traitement. Cette sécurisation insuffisante peut entraîner : l’altération des données personnelles (perte d’intégrité) ; l’accès illégitime aux données personnelles (perte de confidentialité) ; la suppression des données personnelles (perte de disponibilité).

Détournement de finalité du traitement

Dans le cadre d’un traitement, les données personnelles sont collectées pour des finalités déterminées, explicites et légitimes mais sont traitées ultérieurement de manière incompatible avec ces finalités.

Défaut de procédure de Privacy by Design

Absence ou insuffisance de la procédure visant : pour les nouvelles applications : à créer ces applications dans le respect des exigences du RGPD; pour les applications existantes avant la mise en œuvre du RGPD: à mettre en place un plan d’action ou des outils pour mettre en conformité ces applications selon les exigences du RGPD.

Conservation excessive de données

Les données à caractère personnel sont conservées pendant une durée excédant celle nécessaire au regard des finalités pour lesquelles elles sont traitées

Transfert auprès d’un tiers mal encadré

Le transfert de données à caractère personnel vers un tiers s’est fait sans vérification des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement et garantisse la protection des droits des personnes concernées.

Transfert hors UE abusif

Un transfert hors UE est effectué sans qu’aucune des exceptions à l’interdiction soit réalisée (clauses contractuelles types, BCR, consentement individuel explicite, décision d’adéquation, autres dérogations…).

Incapacité à permettre l’exercice des droits

Impossibilité de répondre à des demandes de clients ou collaborateurs quant à leurs droits (portabilité, accès, information, transparence, oubli, suppression…).