TPE, PME, indépendants : le Règlement Général sur la Protection des Données (RGPD) s'applique à vous. La mise en conformité est essentielle pour assurer la confiance de vos clients et éviter des sanctions. Tout ce qu'il faut savoir pour vous mettre aux normes.
Qu'est-ce que le RGPD ?
Le RGPD (Règlement Général sur la Protection des Données), entré en vigueur le 25 mai 2018, uniformise la protection des données personnelles dans l'Union européenne. L'objectif du RGPD est d'unifier la façon dont les entreprises traitent les informations, en veillant à ce que toutes les lois sur la protection des données soient exécutées de la même manière dans toute l'UE. Les entreprises doivent se mettre aux normes RGPD et s'assurer que sont respectées les règles en vigueur en termes de traitement des données personnelles, sous peine de sanctions de la CNIL pouvant atteindre 4% du chiffre d'affaires mondial.
Qui est soumis au RGPD ?
TPE, PME, indépendants, comme toute entreprise de moins de 250 salariés, il est nécessaire d'affecter une équipe dédiée, de la ressource, afin de vérifier la manière dont votre entreprise collecte et traite les données personnelles. Il est nécessaire pour bien s'informer de se reporter à la norme ISO 27701.
RGPD : quelles obligations pour les entreprises ?
Le RGPD renforce la responsabilité des entreprises dans la collecte, le traitement et la sécurité des données. Il impose une information claire et accessible sur l'usage des données, un consentement explicite (sans cases pré-cochées) ainsi que la possibilité pour les personnes d'accéder, rectifier ou supprimer leurs infos. La récolte sans consentement ou à des fins de revente est interdite.
L'importance du consentement
Vous devez traiter les demandes de modification ou de suppression rapidement et donner aux utilisateurs la possibilité de contrôler leurs informations numériques, c'est-à-dire choisir ce qu'ils veulent partager et leur permettre d'accéder au suivi du traitement de leurs données personnelles.
Impossible donc d'imposer aux internautes d'accepter les cookies sans leur consentement. Vous devez mettre à leur disposition un outil de gestion des cookies afin de réduire l'impact de ces traceurs à des fins publicitaires. Certaines actions du marketing digital sont également à surveiller , comme le fait de proposer des contenus gratuits contre une inscription pour ensuite envoyer des mailings à la personne, sans lui avoir demandé l'autorisation en amont (opt-in). Ainsi, les cases pré-cochées doivent laisser à l'utilisateur la liberté de choisir consciencieusement l'action qu'il souhaite faire, etc.
Vous l'aurez compris, le consentement de l'utilisateur doit être une action active et positive plutôt qu'une acceptation passive. Il est à noter que la personne concernée a le droit de retirer à tout moment son consentement. Là encore, vous avez la responsabilité de lui en informer de manière explicite.
Réagir en cas d'attaque
En cas de piratage informatique, le RGPD stipule que vous devez informer les personnes concernées par la violation des données et avertir la CNIL dans les 72h suivant la date à laquelle vous prenez connaissance des faits. Il est alors important de décrire la nature des données et le nombre de personnes concernées, les conséquences de cette cyberattaque pour les victimes, les actions déjà exécutées ou que vous comptez mettre en place pour corriger les conséquences de cette attaque informatique.
Les entreprises qui ne respectent pas le délai des 72h s'exposent à une sanction de la CNIL. Le montant des amendes reste tout de même proportionnel à la violation.
Autrement dit, si vous résidez dans l'un des États membres de l'Union européenne et que vous estimez qu'une entreprise collecte et utilise vos données personnelles en contradiction avec la loi, vous pouvez vous aussi faire valoir vos droits en déposant un recours auprès de la CNIL pour obtenir une réparation du préjudice subi et faire respecter le RGPD en vigueur. Ce règlement ajoute également le droit à la portabilité des données pour les utilisateurs. Vous pouvez réclamer vos données numériques pour un usage personnel ou demander un transfert d'un service à un autre gratuitement.
Mise en conformité RGPD : les étapes clés
La mise en conformité n'est pas un projet ponctuel, mais un processus continu. La CNIL recommande une méthode en quatre étapes clés pour les TPE/PME.
Étape 1 : désigner un pilote et recenser les traitements
La première action consiste à identifier un pilote du projet de mise en conformité. Même pour une petite structure, affecter une personne ou une équipe (même restreinte) est nécessaire pour coordonner les actions. Vous devez ensuite faire l'inventaire de tous les traitements de données personnelles que vous réalisez. Ce recensement implique de vous demander quelles données vous collectez (clients, prospects, employés), pourquoi (finalité) et où et combien de temps sont-elles stockées ? Cette cartographie est la base de votre registre des activités de traitement, un document obligatoire et indispensable pour prouver votre conformité.
Étape 2 : déterminer la base légale de chaque traitement
Pour chaque traitement de données identifié, vous devez définir sur quelle base légale il repose. Il doit toujours y avoir une raison légitime à la collecte des données. Les bases légales les plus courantes sont le consentement de la personne (inscription à une newsletter, par exemple), le contrat - comme des données nécessaires pour exécuter un bon de commande - ou l'intérêt légitime de l'entreprise (la lutte contre la fraude, par exemple).
Étape 3 : organiser la gestion des droits
Vous devez mettre en place les procédures internes pour garantir l'exercice des droits des personnes concernées (accès, rectification, effacement, etc.). Pour cela, fixez des durées de conservation pertinentes et ne conservez pas les données indéfiniment. Une fois la finalité atteinte, les données doivent être effacées ou anonymisées. De plus, sécurisez les données en mettant en place des mesures techniques et organisationnelles (mot de passe fort, chiffrement, gestion des habilitations).
Étape 4 : documenter sa conformité
La documentation est primordiale. Vous devez être en mesure de prouver que les mesures adéquates sont prises. Il est essentiel de tenir à jour le registre des traitements, de formaliser les procédures de gestion des violations et des demandes d'accès et de réaliser si nécessaire une Analyse d'Impact relative à la Protection des Données (AIPD) pour les traitements présentant un risque élevé.
Nous vous accompagnons pour protéger votre activité professionnelle