Actualités

RGDP : les PME en retard dans leur démarche de mise en conformité

Le RGPD (Règlement Général sur la Protection des Données Personnelles) entre en vigueur le 28 mai ! Il n’est pas trop tard pour lancer la démarche, mais par où commencer ?

Certes, le règlement prévoit que les TPE/PME soient dispensées de certaines obligations. Mais il s’applique bien à toute entreprise qui collecte, stocke, traite ou utilise des données à caractère personnel, pour son propre compte ou en qualité de sous-traitant. Les entreprises qui ne respecteront pas les principaux points du règlement ou qui n’auront pas au moins entamé la démarche de mise en conformité s’exposent à des sanctions. Le champ d’application est vaste : il peut s’agir des données personnelles des employés, des clients, des prospects, des partenaires, etc… Pour chaque traitement, la mise en conformité implique des mesures sur les plans juridique, organisationnel et technique.

RGPD protection des données personnelles

RGPD : objet, application et sanctions

Le RGPD renforce la loi Informatique et Libertés en vigueur depuis 1978. Elle accroît les droits des citoyens en leur donnant plus de maîtrise sur leurs données. Les formalités actuelles auprès de la CNIL (déclarations, autorisations) disparaissent. En contrepartie, les entreprises qui traitent des données à caractère personnel (pour leur compte ou pour le compte de leurs clients) doivent apporter la preuve qu’elles ont mis en oeuvre toutes les mesures techniques et organisationnelles pour protéger les données, conformément au nouveau règlement. Contrairement aux directives européennes qui ne s’appliquent qu’après transposition nationale, le RGPD, en tant que règlement européen, est d’application immédiate dans l’ensemble des Etats membres à compter du 25 mai 2018. Les amendes administratives peuvent s’élever, selon la catégorie de l’infraction, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel. L’organisme de contrôle pour la France est la CNIL.

Données personnelles dans le règlement RGPD : définition

Il s’agit de toute information se rapportant à une personne physique identifiée (directement) ou identifiable (indirectement). Par exemple : nom, prénom, numéro de téléphone, adresses postale, email, adresse IP, identifiant, etc… Certaines données sont dites sensibles, comme par exemple l’origine raciale, l’opinion politique, l’appartenance syndicale, les convictions religieuses, les données génétiques, de santé, l’orientation sexuelle. Le principe de base est que leur traitement est interdit sauf pour certaines exceptions comme les raisons médicales d’urgence.
Le RGPD s’applique aux traitements de données sous forme de fichier, en tout ou partie automatisés, mais également aux fichiers qui ne sont pas du tout automatisés, constitués d’un ensemble structuré de données (dossiers clients ou patients par exemple, liste manuscrite de mauvais payeurs…). Les fichiers “papiers” sont donc bien concernés. Enfin, le RGPD s’applique aux données personnelles de tout type de contact : clients, fournisseurs, partenaires, employés…

Quelles sont les entreprises concernées ?

Le RGPD concerne toutes les entreprises qui traitent des données à caractère personnel. Des dispenses existent  pour les entreprises de moins de 250 salariés concernant certaines obligations comme la tenue d’un registre des traitements ou la nomination d’un DPO (délégué à la protection des données). Pour les PME, Le RGPD peut représenter une contrainte lourde. La mise en conformité est coûteuse et prend du temps mais elle est vitale. Car au-delà des sanctions financières prévues, les grands comptes exigeront bientôt de leurs sous-traitants qu’ils soient conformes.
Le règlement concerne aussi les sous-traitants : notamment les prestataires de services informatiques (hébergement, maintenance,…), les intégrateurs de logiciels, les agences marketing ou de communication qui traitent des données personnelles pour le compte de clients, etc…

La notion de traitement de données personnelles

Traitement des données personnelles :
Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Responsable du traitement :
La personne physique ou morale, l’autorité publique, le service ou autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Sous-traitant :
La personne physique ou morale, l’autorité publique, le service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Les principales obligations du RGPD

Nomination d’un DPO (délégué pour la protection des données), si vous êtes dans le cas de figure où c’est obligatoire. Dans certains cas, ce n’est pas obligatoire. La CNIL recommande néanmoins de désigner un pilote. Son rôle consistera à centraliser les informations relatives aux traitements de données à caractère personnel et organisera les actions à mener afin de respecter les obligations applicables. En pratique, il est difficile de se passer d’un chef de projet (interne ou externe) afin de mener le plan de conformité.
Tenue du registre des traitements des données personnelles, si vous êtes dans le cas de figure où c’est obligatoire. Dans la pratique, difficile de s’en passer ne serait-ce que pour faire l’inventaire des différents traitements et garantir une conformité continue.

Conformité de chaque traitement de données personnelles

Vous devez respecter les droits des personnes : consentement, information, accès, rectification, effacement, limitation, notification, portabilité.
Le traitement doit être légitime et licite.
Vous devez minimiser les données en limitant la collecte aux seules données strictement nécessaires au traitement.
Il faut assurer la sécurité des données dans leur intégrité et au niveau de leur confidentialité : prendre les mesures organisationnelles et techniques pour éviter la destruction, la perte, l’altération ou la divulgation non autorisée des données (voir le guide de la CNIL).
Certains traitements de données personnelles peuvent engendrer un risque élevé pour les droits et libertés des personnes. Ils doivent faire l’objet d’une analyse d’impact (PIA : privacy impact assessment).

Gestion des responsabilités

Le responsable du traitement est responsable de la conformité et devra être capable de le démontrer. Il doit donc organiser et documenter la mise en conformité et le maintien de la conformité.
La co-responsabilité du sous-traitant doit être claire. Echanger des données personnelles entre deux sociétés exige désormais d’évoquer les engagements réciproques de chacun.
Mise en conformité de tous les contrats (clients, sous-traitants, CGU, CGV, mentions pour la collecte des données, contrats de travail, etc…).
Il est nécessaire de mettre en place une procédure en cas de violation. L’entreprise a pour obligation de notifier l’autorité de contrôle (CNIL) en cas de violation de sécurité ou de violation des données. L’entreprise devra également, dans certains cas, communiquer aux personnes concernées par la violation.

La démarche de mise en conformité

Les étapes :

Formulaire RGPD : mon entreprise est-elle concernée ?
Audit initial : analyse rapide d’exposition de l’entreprise au RGPD. On peut éventuellement réaliser cet audit à distance.
Nomination d’un DPO (délégué à la protection des données) ou à défaut d’un pilote.
Etat des lieux RGPD : à partir d’une cartographie des traitements, quantifier le travail à accomplir pour être en conformité avec les exigences du RGPD. Etablissement d’un plan d’action quantifié, hiérarchisé.
Mise en conformité : sur le plan contractuel et juridique, des mesures techniques et organisationnelles, des actions vis-à-vis des clients (notamment si l’entreprise est sous-traitante), actions vis-à-vis des sous-traitants et partenaires.
Mise en place de la gouvernance : rôles, procédures, documentation. Il faut démontrer à l’Autorité de Contrôle (CNIL) que les actions sont lancées et suivies.

Nous vous accompagnons dans votre démarche RGPD

La sécurisation informatique des données étant une des principales exigences du règlement, nous sommes en mesure de vous accompagner dans votre propre démarche de mise en conformité dans le cadre d’une prestation spécifique. Si vous le souhaitez, nous pouvons vous faire parvenir un questionnaire qui nous permettra de faire un premier état des lieux et de programmer un premier échange à distance rapidement.

> Contactez-nous

Liens

Le règlement RGPD :
www.cnil.fr/fr/reglement-europeen-protection-donnees

Le guide CNIL 2017 de la sécurité informatique :
www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf

Partager