RGPD pour les PME : Guide Complet pour la Mise en Conformité

Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur, obligeant les entreprises à réguler le traitement des données personnelles. Ce règlement a été conçu pour établir des règles en matière de collecte et d'utilisation de la data, notamment par les entreprises.

Face à la diffusion croissante des données personnelles et afin d’encadrer l’usage de la « Big Data », l’Union Européenne a décidé d'agir en créant un cadre législatif destiné à protéger les utilisateurs.

Le RGPD s'applique dans toute structure privée ou publique, quels que soient le secteur d'activité ou la taille, collectant ou traitant des données dans l'Union Européenne. Cela signifie que les PME et TPE sont également concernées par le RGPD.

Cette nouvelle réglementation a été conçue pour établir des règles en matière de collecte et d'utilisation de la data, notamment par les entreprises. Toute personne dont les données sont collectées doit en être en mesure d’être constamment informées de leurs usages et de leurs finalités.

Bien entendu, un consentement éclairé ne peut être obtenu que si les utilisateurs et les organismes concernés sont conscients de la façon dont leurs informations sont traitées.

Lire aussi: Rédaction d'une demande de financement

Qu'est-ce que le RGPD ?

Le RGPD (Règlement général sur la protection des données) a en effet fait évoluer la loi informatique et libertés en renforçant le droit des personnes à l’échelle européenne. C’est une loi de l’Union européenne qui établit des règles sur la manière dont les données personnelles doivent être collectées, utilisées, traitées et protégées par toute organisation, partout en Europe.

Il s’agit de toute information se rapportant à une personne physique identifiée (directement) ou identifiable (indirectement).

Le RGPD s’applique aux traitements de données sous forme de fichier, en tout ou partie automatisés, mais également aux fichiers qui ne sont pas du tout automatisés, constitués d’un ensemble structuré de données (dossiers clients ou patients par exemple, liste manuscrite de mauvais payeurs…).

Contrairement aux directives européennes qui ne s’appliquent qu’après transposition nationale, le RGPD, en tant que règlement européen, est d’application immédiate dans l’ensemble des Etats membres à compter du 25 mai 2018.

Pourquoi le RGPD est-il Important pour les PME ?

Les entreprises font également face à une hausse des cyberattaques, mettant en péril leurs données sensibles. Comprendre et prévenir les violations de données critiques est indispensable pour éviter des pertes financières et une atteinte à la réputation.

Lire aussi: Exemple concret : Cycle de Financement

Si une entreprise est reconnue responsable d'une violation de données, les conséquences juridiques peuvent être très lourdes. En cas de perte, même accidentelle des données personnelles de vos clients, c’est la responsabilité civile de votre entreprise qui est engagée.

L’assurance responsabilité civile professionnelle vous couvre en cas de divulgation d’informations confidentielles de tiers.

Même avec un simple CV, une entreprise possède des données à caractère personnel ! Tout ce qui permet d’identifier directement ou indirectement une personne physique implique que l’entreprise ait à se mettre en conformité avec le RGPD, le règlement général sur la protection des données.

Les Principes Clés du RGPD

Ce nouveau dispositif européen s'applique sur la base de la responsabilisation et de l'auto-régulation. L'Union Européenne, à travers ce texte, reconnaît les entreprises responsables de la façon dont les données sont collectées et traitées (principe d'accountability).

Comme nous le soulignons précédemment, une entière transparence est nécessaire pour se conformer au RGPD. Cette transparence concerne également l'exercice des droits des personnes en rapport avec leurs données et les modalités leur permettant de les exercer. L'entreprise doit fournir une adresse électronique dédiée à ce type de démarches.

Lire aussi: Les produits dérivés expliqués

Informer les personnes de la durée de conservation "de manière active", c’est-à-dire une durée qui doit correspondre au temps strictement nécessaire pour parvenir au but poursuivi.

À partir du moment où un organisme collecte des données à caractère personnel, il est considéré "responsable de traitement" de ces dernières. Concrètement, l'entreprise doit être en mesure de prouver qu'elle met tout en œuvre pour assurer la protection des données qu'elle utilise, et ce d'un point de vue physique et numérique.

Le RPGD confère un certain nombre de droits aux personnes dont les données sont traitées. Le droit de portabilité : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, pour les transférer si besoin à un tiers.

Par ailleurs, grâce au principe de minimisation, vous vous assurez de ne collecter celles qui sont vraiment nécessaires à la poursuite de vos objectifs.

Afin de déterminer la quantité de données traitées et les procédés, appuyez-vous sur deux principes. Le principe de finalité établit la manière dont vous les utiliserez ou réutiliserez dans le futur. Cela permet de savoir quelle information vous sera vraiment utile.

Les Obligations des PME en Matière de RGPD

La mise en conformité au RGPD correspond à la mise en place de toutes les mesures nécessaires à l'entreprise pour collecter et traiter les data dans le respect de ce règlement. Il est fort probable que vous ayez déjà entamé ou opéré dans ce sens depuis la publication du règlement en 2018. Toutefois, la conformité est un concept très évolutif.

Le responsable du traitement est responsable de la conformité et devra être capable de le démontrer. La co-responsabilité du sous-traitant doit être claire. Il est nécessaire de mettre en place une procédure en cas de violation. L’entreprise a pour obligation de notifier l’autorité de contrôle (CNIL) en cas de violation de sécurité ou de violation des données.

Bien qu'elles bénéficient d'exceptions, les TPE et PME ont de nombreuses responsabilités vis-à-vis des informations qu'elles traitent et collectent.

Certes, les règles de conformité RGPD prévoient que les TPE/PME soient dispensées de certaines obligations (dans certains certains cas seulement). Mais il s’applique bien à toute entreprise qui collecte, stocke, traite ou utilise des données à caractère personnel, pour son propre compte ou en qualité de sous-traitant.

Registre des Traitements

La constitution et la mise à jour d’un registre est une obligation prévue à l’article 30 du RGPD. Pour les sous-traitants qui gèrent des données personnelles pour le compte d’une autre organisation, le RGPD prévoit aussi la tenue d’un registre et sa mise à jour. Il y a certes l’obligation légale mais la tenue du registre permet également de recenser, comprendre et maîtriser son "capital" de données personnelles. Sa création et sa mise à jour sont l’occasion de se poser les bonnes questions et de limiter les risques concernant le RGPD. A noter qu'un mode d'emploi sur le registre des activités de traitement est aussi fourni par la CNIL.

A partir de ces éléments, il faut ensuite constituer un registre de vos transferts de données, comme le conseille la CNIL : il faut cartographier par exemple ses fichiers clients utilisés à des fins commerciales, afin de catégoriser le type de données et leurs finalités (pour des tests de produits, pour établir les contrats de travail et les bulletins de paie, etc). A chaque fois, il faudra définir qui a accès à ces données (sous-traitants, collaborateurs, gérant, etc.) ainsi que définir une durée d’archivage et quelles sont les mesures de sécurité.

Délégué à la Protection des Données (DPO)

Aussi, cette nouvelle politique rend obligatoire la désignation d’une personne chargée de la gestion du traitement de la data dans votre organisation. Le Data Protection Officer (ou délégué à la protection des données) définira les actions principales à mener et assurera la bonne conduite de votre stratégie. Toutefois, cette étape clé reste compliqué pour les petites structures, qui pourront toutefois s’attacher les services de professionnels comme les nouveaux services offerts par les acteurs de la Legaltech. Ce poste est aussi un moyen pour certaines TPE et PME de pourvoir travailler avec de grands groupes. Ce dispositif vous donne crédibilité et visibilité.

Pour certaines organisations, il est obligatoire de nommer un DPO (délégué à la protection des données) interne ou externe (ancien correspondant informatique et liberté devenu aujourd’hui data protection officer). Le critère, c’est que le traitement de données est à grande échelle et demande un suivi régulier systématique.

Les exceptions concernent la désignation d’un Data Protection Officer ou DPO. Les TPE ne sont pas obligées d'en désigner un et les PME peuvent disposer d'un DPO externe à l'entreprise.

La désignation d'un Délégué à la protection des données (DPO) n'est pas une obligation dans le secteur privé mais permet d'avoir un interlocuteur spécialisé.

Nomination d’un DPO (délégué pour la protection des données), si vous êtes dans le cas de figure où c’est obligatoire. Dans certains cas, ce n’est pas obligatoire. La CNIL recommande néanmoins de désigner un pilote. Son rôle consistera à centraliser les informations relatives aux traitements de données à caractère personnel et organisera les actions à mener afin de respecter les obligations applicables.

Analyse d'Impact (DPIA)

Entrepreneurs, vous devez également réaliser une analyse d’impact relative à la protection des données (DPIA). Cette analyse d’impact est un outil important pour la responsabilisation des organismes. Notez qu’elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées.

Certains traitements de données personnelles peuvent engendrer un risque élevé pour les droits et libertés des personnes. Ils doivent faire l’objet d’une analyse d’impact (PIA : privacy impact assessment).

Sécurité des Données

Vous avez le devoir de prendre toutes les mesures utiles pour garantir la sécurité de la data collectée. Cela passe par la sécurité physique des locaux, comme la sécurité informatique (gestion des habilitations et droit d'accès). Mettez à jour régulièrement votre SI pour mieux sécuriser les données.

À tout moment, la circulation des données personnelles doit être protégée.

Dans tous les cas, il faut toujours adapter des techniques et des organisations appropriées, comme par exemple le chiffrage des données sensibles.

Comment Mettre en Œuvre le RGPD dans Votre PME : Étapes Clés

Nous vous avons donné toutes les étapes pour réussir votre mise en conformité par rapport au RGPD.

La personne chargée du « projet RGPD », doit recenser les types de données personnelles en possession de votre structure, ainsi que la durée de conservation de ces dernières. Cette étape nécessite la transmission de tous les documents (papier ou électronique) relatifs aux traitements de données.

Grâce à votre registre des traitements de données, vous serez en mesure de définir les actions à entreprendre, afin de respecter les obligations du RGPD. Il est judicieux de se cantonner à une acquisition d’éléments absolument nécessaire à votre activité.

Une des étapes à de ne pas négliger est la gestion des informations collectées.

Audit et État des Lieux

• Audit initial : analyse rapide d’exposition de l’entreprise au RGPD.
• Etat des lieux RGPD : à partir d’une cartographie des traitements, quantifier le travail à accomplir pour être en conformité avec les exigences du RGPD.

Mise en Place de la Gouvernance

Mise en place de la gouvernance : rôles, procédures, documentation.

Sensibilisation et Formation

Assurez-vous que vos employés comprennent les enjeux du RDGP. Vous devez sensibiliser vos employés sur les meilleures pratiques à adopter. N'hésitez pas à mettre les fiches pratiques de la CNIL à leur disposition et à les faire participer aux ateliers qu'elle organise.

Sécurisation Informatique

La sécurisation informatique des données est une des principales exigences du règlement.

Sanctions en Cas de Non-Conformité

Les entreprises qui ne respecteront pas les principaux points du règlement ou qui n’auront pas au moins entamé la démarche de mise en conformité RGPD s’exposent à des sanctions.

Les amendes administratives peuvent s’élever, selon la catégorie de l’infraction, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel.

Bien que la CNIL prône une autonomisation et une auto-régulation des entreprises, elle effectue parfois des contrôles.

Conclusion

La conformité RGPD concerne toutes les entreprises qui traitent des données à caractère personnel. Des dispenses existent pour les entreprises de moins de 250 salariés concernant certaines obligations comme la tenue d’un registre des traitements ou la nomination d’un DPO (délégué à la protection des données). Ces dispenses ne sont possibles que dans certains cas et pour les PME, Le RGPD peut représenter une contrainte lourde. La mise en conformité est coûteuse et prend du temps mais elle est vitale.

balises: #Pme

Articles populaires:

• Conseils Auto-Entrepreneur Bricolage
• Devenir auto-entrepreneur influenceur
• Avantages et inconvénients de la création d'entreprise pour la défiscalisation
• Frais de Transport : Le Guide Ultime pour le Pass Navigo
• Sources de financement des cliniques