Le 25 mai 2018 est la date butoir pour se mettre en conformité avec le RGPD. Voté en 2016, ce texte européen est méconnu voire totalement inconnu dans les TPE et PME. Pourtant, il s’applique aux plus petites organisations, entreprises ou associations, privées ou publiques. L’équipe de Destination Sud-Ouest Communication vous propose de découvrir l’essentiel à retenir sur le RGPD.
Quatre questions pour comprendre le RGPD :
Qu’est-ce que le RGPD ?
Les nouvelles technologies sont omniprésentes dans notre vie. Elles nous offrent des outils performants qui facilitent notre quotidien mais qui nous amènent en permanence à confier à des tiers des informations sur notre vie privée.
Toutes les entreprises, associations, établissements publics collectent et traitent ces données pour tenter d’améliorer sans cesse la qualité et l’efficacité de leurs services. La multiplication des outils et des interlocuteurs nous fait rapidement perdre le contrôle de nos informations personnelles.
Pour faire face à cet environnement numérique et améliorer pour chacun la maîtrise de ses données personnelles, le Règlement Général sur la Protection des Données (RGPD), entre en application le 25 mai 2018.
Il a pour objectif de renforcer les droits des individus et de responsabiliser les organismes publics et privés qui traitent leurs données.
Qui est concerné ?
Toutes les entreprises et organisations sont concernées quels que soient leur taille, le nombre de leurs salariés et leur implantation géographique dans la mesure où :
- Elles sont implantées dans l’Union Européenne
- Elles sont amenées à collecter des données personnelles de résidents de l’Union Européenne.
Les deux critères à retenir pour évaluer les enjeux de cette réglementation par rapport à votre structure sont le volume et la sensibilité des données personnelles que vous êtes amenés à traiter dans votre activité, soit en interne, soit par le biais de sous-traitants.
Toutefois, pour la plupart des petites structures, la mise en conformité au RGPD ne nécessitera pas des moyens très importants.
Quels sont les enjeux ?
La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité chargée du contrôle de la conformité des structures publiques ou privées au RGPD. Elle a donc un devoir de surveillance et de dissuasion vis-à-vis des manquements des responsables de traitements et de leurs sous-traitants.
La CNIL aura donc le droit d’imposer elles-mêmes des sanctions administratives effectives, proportionnelles et dissuasives. L’article 58 §2 du RGPD prévoit les moyens dissuasifs mis à la disposition de la CNIL.
L’intervention de l’autorité de contrôle est progressive en fonction de la gravité du manquement de l’entreprise à ses obligations au regard du RGPD. Les sanctions sont donc graduées mais aussi renforcées par rapport aux dispositions légales précédentes (Loi Informatique et Libertés en France) :
Etape 1 : Avertissement ou une mise en demeure de l’entreprise fautive avec rappel du devoir de mise en conformité des traitements de données sensibles au RGPD
Etape 2 : Injonction de cesser la violation
Etape 3 (dans certains cas) : Limitation ou suspension temporaire des traitements de données
Etape 4 : Sanctions administratives en cas de non-respect aux règles du RGPD après injonction vaine de l’autorité de contrôle
Le RGPD prévoit aussi des amendes administratives lourdes (2 à 4% du Chiffre d’affaire mondial, 10 à 20 millions d’euros) mais aussi des sanctions pénales (5 ans d’emprisonnement, 300 000 euros d’amendes) en cas d’infractions graves à la réglementation.
Pour la plupart des PME/TPE, le non-respect du RGPD aura un impact sur son image, sa réputation, la confiance des tiers mais surtout sur sa capacité à poursuivre ses relations commerciales avec ses clients.
La mise en conformité au RGPD en doit donc pas être prise à la légère car elle aura rapidement des conséquences concrètes sur l‘activité de votre entreprise.
Quand la réglementation entre-t-elle en vigueur ?
Le Règlement Général sur la Protection des Données entre en vigueur le 25 mai 2018.
Il ne faut pas céder à la panique, mais il est maintenant temps d’entamer cette démarche afin de se prémunir contre d’éventuelles sanctions de la CNIL.
En cas de contrôle, vous devez impérativement être en mesure de démontrer votre bonne foi à l’organisme de contrôle. Pour cela, il faudra avoir entrepris une démarche de mise en conformité.
Avoir entrepris une démarche de mise en conformité avant la date d’entrée en vigueur du RGDP vous permettra d’établir votre bonne foi vis-à-vis de la CNIL.
Se mettre en conformité
Face à cette obligation de mise en conformité, les petites et moyennes entreprises et associations sont souvent démunies.En effet, la plupart des TPE/PME, des petites associations et organismes publics ignore l’existence même du RGPD.
Les échéances très courtes et la complexité des textes réglementaires conduisent les dirigeants à envisager le RGPD comme une difficulté insurmontable.
L’équipe de Destination Sud-Ouest Communication a donc élaboré une démarche simple et rapide qui nous permet de vous accompagner afin de vous mettre en conformité avec cette réglementation européenne.
Nous souhaitons vous faire appréhender la mise en conformité au RGPD comme une réelle opportunité pour votre structure plutôt que comme une nouvelle contrainte administrative pénalisante pour votre activité.
Une démarche simple pour une mise en conformité rapide
Préambule :
A ce stade, il nous semble important de poser simplement la problématique du RGPD :
- Que considère-t-on comme une donnée personnelle ?
Il s’agit de toute information se rapportant à une personne physique qui est identifiée ou peut l’être
Exemple : le nom, le prénom, le numéro de téléphone, l’adresse mail, le lieu de résidence, l’âge …
- Qu’est-ce qu’un traitement de donnée personnelle ?
Il s’agit de tout processus, informatique ou non, qui a pour objet les données personnelles
Exemple : collecter les coordonnées d’un prospect via un formulaire de contact, tenir un fichier client, tenir un registre papier du personnel …
- Quel est l’objectif poursuivi lorsque l’on collecte des données personnelles ?
Toute collecte de données personnelles n’est légale que si elle sert un objectif clair et en rapport direct avec l’objet social de la structure concernée.
Le RGPD a pour vocation de fixer les règles de traitement, de conservation et de protection des données personnelles par les structures qui les détiennent.
Les cinq grands principes retenus sont les suivants :
- S’assurer que les données sont collectées avec l’accord explicite de la personne concernée
- S’assurer que les données personnelles sont collectées à des fins légitimes
- Garantir à chacun un accès très facile à ses données personnelles pour les modifier et les supprimer
- Protéger la confidentialité des données personnelles détenues par un sous-traitant
- Limiter dans le temps la détention des informations personnelles par un sous-traitant
Ces principes s’appliquent à deux domaines qu’il faudra traiter dans la démarche de mise en conformité : les traitements internes à l’entreprise et ceux effectués dans le cadre de la sous-traitance.
Nous vous proposons donc une démarche en six étapes :
Comment vous accompagne-t-on ?
Suite à ce diagnostic vous pourrez décider de réaliser vous-même la démarche de mise en conformité avec les outils de base que nous allons vous donner.
Nous vous proposons aussi de vous accompagner pour une mise en conformité rapide et sûre jusqu’à la rédaction du dossier de mise en conformité. (Le coût du diagnostic préalable est déductible des frais de mission en cas d’accompagnement)
Deux points particuliers sont à surveiller :
- La nature des données collectées, traitées et conservées par l’entreprise en fait elle des données sensibles ?
- Doit-on nommer un délégué à la protection des données ?
Et pour mon site Internet ?
Il s’agit là d’un sujet prioritaire car c’est la partie la plus exposée et visible de l’activité de votre entreprise. C’est donc la mise à jour la plus urgente à effectuer pour être conforme au RGPD. C’est aussi le « point d’entrée » le plus aisé pour un organisme de contrôle qui souhaiterait s’assurer que votre entreprise à conforme à la réglementation européenne.
Un certain nombre de points sont donc à passer en revue pour s’assurer de la conformité de votre boutique en ligne ou site vitrine. D’autant qu’il y fort à parier qu’à l’approche de l’échéance, les médias vont s’emparer de ce sujet d’actualité. Vos futurs clients et clients seront donc particulièrement sensibilisés sur ce sujet.
Pour comprendre mieux les enjeux nous vous proposons de lire l’excellent article de synthèse réalisé par Eléonore de l’équipe WPMARMITE :
Glossaire :
RGPD : Règlement Général de Protection des Données adopté en 2016 par Union Européenne et entrant en vigueur le 25 mai 2018. Il vient se substituer aux dispositions de la loi Informatique et Liberté en France.
Privacy by Design : prise en considération de la protection de la vie privée dès la conception des outils informatiques : sites Web, outils administratifs, applications mobiles.
Privacy by Default : garantie du plus haut niveau de protection possible pour chaque donnée personnelle détenue par l’entreprise sous forme informatisée ou papier.
Délégué à la protection des données ou DPO : Il occupe une place très importante dans le RPGD. Le règlement lui a conféré de lourdes fonctions : il supervise le respect de la conformité de l’organisme au RPGD. Dans certains cas, sa désignation est obligatoire.
Registre de traitement des données : Le RGPD modifie de nombreux points des pratiques des entreprises en matière de protection des données et en particulier, l’obligation de tenir un registre de traitements. Les formalités administratives auprès de la CNIL sont supprimées, exception faite de certains traitements nécessitant une autorisation particulière. La contrepartie de cet allègement administratif est une inversion de la charge de la preuve. Il n’appartiendra plus à la CNIL de déceler les écarts à la loi, mais à l’organisme de prouver sa conformité durant les contrôles.
Il en va de même pour les données traitées par vos sous-traitants qui devront être aussi en conformité avec le RGPD : leur registre pourra être demandé par la CNIL lors de ses contrôles.
Données sensibles : Il s’agit de données personnelles ayant trait par exemple aux convictions religieuses, à la santé, aux convictions politiques …
Vous pouvez bien entendu vous référer aussi au texte original sur le site de UE.
Arnaud – Destination Sud-Ouest Communication.