TPE/PME : Tout savoir pour une mise en conformité RGPD réussie
Il n'y a plus besoin de le présenter, tout le monde connaît le Règlement Général sur la Protection des Données de l'Union Européenne, ou plus communément désigné par l’acronyme RGPD !
Depuis le 25 mai 2018, les entreprises ont l’obligation de le mettre en application, dont le but est de réguler le traitement des données personnelles par les structures privées et publiques. Toutes les entreprises, organismes ou organisations doivent prouver qu’elles assurent cette protection des données, de leurs clients mais également de leurs collaborateurs, conformément à la loi.
Afin de vérifier la mise en conformité RGPD de votre entreprise, nous vous proposons de découvrir ou redécouvrir les principes du RGPD, ainsi que les obligations imposées aux TPE et PME, de manière à vous guider dans la mise en conformité de votre entreprise.
Règlement général sur la protection des données : Définition et Origine
Face à la diffusion croissante des données personnelles, et afin d’encadrer l’usage de la « Big Data », l’Union Européenne a décidé d'agir en créant un cadre législatif destiné à protéger les utilisateurs. Cela s'est matérialisé à travers le RGPD, entré en vigueur le 25 mai 2018 dans les 27 pays de l'UE.
Cette nouvelle réglementation a été conçu pour établir des règles en matière de collecte et d'utilisation de la data, notamment par les entreprises. Ce texte poursuit trois objectifs à l'échelle européenne :
- Renforcer le droit des personnes quant à l’enregistrement et l’exploitation de leurs données
- Responsabiliser les acteurs traitant ces informations, sensibles ou non
- Crédibiliser la régulation grâce à une approche unifiée de la protection
Afin de parvenir à ces objectifs, le RGPD de la CNIL repose sur trois grands principes.
Quelles sont les normes (et principes) du RGPD de la CNIL ?
Le consentement
Étant donné que le premier objectif du RDGP est de renforcer le droit des personnes vis-à-vis de leurs informations personnelles sur Internet, et en physique, obtenir un consentement explicite et positif des utilisateurs est désormais indispensable.
Toute personne dont les données sont collectées doit en être en mesure d’être constamment informées de leurs usages et de leurs finalités. Toute personne ou entité doit également donner son accord, tout en ayant la possibilité de le retirer à tout moment, et en toute confidentialité.
La transparence
Bien entendu, un consentement éclairé ne peut être obtenu que si les utilisateurs et les organismes concernés sont conscients de la façon dont leurs informations sont traitées. Ainsi, les structures ont l'obligation de fournir aux personnes des explications claires sur ce traitement, et ce dès la phase de collecte.
La responsabilisation
Ce nouveau dispositif européen s'applique sur la base de la responsabilisation et de l'auto-régulation. L'Union Européenne, à travers ce texte, reconnaît les entreprises responsables de la façon dont les données sont collectées et traitées (principe d'accountability). De plus, elle promeut une plus grande autonomie et l'auto-régulation en allégeant les formalités administratives qui y sont liées.
Dans la finalité d’être en accord avec les nouvelles directives européennes, chaque structure se doit être responsable de l’information qu’elle collecte et de la manière dont elle le fait, d’être transparente sur les finalités et les usages de celle-ci et bien entendu, obtenir le consentement explicite des personnes ou organismes avec qui elle traite.
Mise en conformité RGPD : comment l’appliquer au sein de mon entreprise ou organisme ?
Le RGPD s'applique dans toute structure privée ou publique, quels que soient le secteur d'activité ou la taille, collectant ou traitant des données dans l'Union Européenne. Cela signifie que les PME et TPE sont également concernées par le RGPD. Les chefs d'entreprise doivent donc assurer la conformité de leur entreprise avec le RGPD.
Qu'est-ce que la mise en conformité RGPD ?
La mise en conformité au RGPD correspond à la mise en place de toutes les mesures nécessaires à l'entreprise pour collecter et traiter les data dans le respect de ce règlement. Il est fort probable que vous ayez déjà entamé ou opéré dans ce sens depuis la publication du règlement en 2018. Toutefois, la conformité est un concept très évolutif. Il est important de faire un état des lieux de manière régulière afin de garantir la conformité de vos pratiques actuelles avec le règlement en vigueur.
Comment se conformer : les étapes à suivre
Désigner un Data Protection Officer
Une des étapes à de ne pas négliger est la gestion des informations collectées. Aussi, cette nouvelle politique rend obligatoire la désignation d’une personne chargée de la gestion du traitement de la data dans votre organisation. Ce responsable aura pour objectif de s’assurer que votre structure respecte les obligations du RGPD.
Le Data Protection Officer (ou délégué à la protection des données) définira les actions principales à mener et assurera la bonne conduite de votre stratégie. Il doit être en mesure de proposer des recommandations, et d’assurer la gestion de l’organisation des données.
Toutefois, cette étape clé reste compliqué pour les petites structures, qui pourront toutefois s’attacher les services de professionnels comme les nouveaux services offerts par les acteurs de la Legaltech. Vous pouvez aussi faire appel à un consultant indépendant.
Réaliser un état des lieux
Afin d’assurer la mise en conformité du RGPD, vous devez effectuer un audit pour identifier et évaluer les différents traitements de données personnelles mis en œuvre par votre entité pour son activité et la typologie de data collectée.
La personne chargée du « projet RGPD », doit recenser les types de données personnelles en possession de votre structure, ainsi que la durée de conservation de ces dernières. Le but est d’identifier les processus concernés par le RGPD puis d’évaluer leur niveau de conformité.
Cette étape nécessite la transmission de tous les documents (papier ou électronique) relatifs aux traitements de données. À l’issue de cette étape, il serait judicieux de réaliser un registre des traitements, ce document pourra vous être demandé par le CNIL.
N’oubliez pas de régulièrement mettre à jour vos documents pour protéger et valider vos données en continu.
Ciblez les données collectées
Grâce à votre registre des traitements de données, vous serez en mesure de définir les actions à entreprendre, afin de respecter les obligations du RGPD. Pensez à prioriser les actions selon le risque que font peser vos traitements sur les droits et les libertés des personnes concernées.
Il est judicieux de se cantonner à une acquisition d’éléments absolument nécessaire à votre activité. De plus, cette réduction il vous sera plus facile de le faire dans le total respect des droits des personnes définis par le RGPD.
Afin de déterminer la quantité de données traitées et les procédés, appuyez-vous sur deux principes. Le principe de finalité établit la manière dont vous les utiliserez ou réutiliserez dans le futur. Cela permet de savoir quelle information vous sera vraiment utile. Par ailleurs, grâce au principe de minimisation, vous vous assurez de ne collecter celles qui sont vraiment nécessaires à la poursuite de vos objectifs. Ces principes s'appliquent également à leur durée de conservation, dans le fichier client par exemple.
Soyez transparents avec les utilisateurs
Comme nous le soulignons précédemment, une entière transparence est nécessaire pour se conformer au RGPD. Les personnes dont vous collectez les données doivent être clairement informées de l'utilisation qui en sera faite.
Cette transparence concerne également l'exercice des droits des personnes en rapport avec leurs données et les modalités leur permettant de les exercer. L'entreprise doit fournir une adresse électronique dédiée à ce type de démarches. Ensuite, cela implique de répondre dans les meilleurs délais aux demandes de consultation, d'accès, de rectification ou de suppression des éléments personnels qui ont été collectés et enregistrés.
Informer les personnes de la durée de conservation "de manière active", c’est-à-dire une durée qui doit correspondre au temps strictement nécessaire pour parvenir au but poursuivi. Vous serez ensuite dans l'obligation de les détruire, les anonymiser ou les archiver selon les règles applicables.
Gérer les risques
Entrepreneurs, vous devez également réaliser une analyse d’impact relative à la protection des données (DPIA). Cette analyse d’impact est un outil important pour la responsabilisation des organismes. Concrètement, elle doit vous aider à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au RGPD.
Notez qu’elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées. Un risque élevé est un scénario décrivant :
- Un événement redouté (accès non autorisé, modification non désirée ou encore disparition des données et ses impacts potentiels sur les droits et libertés des personnes).
- Toutes les menaces qui permettraient qu’il survienne
Vous avez le devoir de prendre toutes les mesures utiles pour garantir la sécurité de la data collectée. Cela passe par la sécurité physique des locaux, comme la sécurité informatique (gestion des habilitations et droit d'accès). Assurez-vous que seuls les tiers dûment habilités n'ont accès aux données.
Mettez à jour régulièrement votre SI pour mieux sécuriser les données. Anticipez toute situation problématique, en consultant notre article sur les causes d’échecs des projets informatiques.
Des précautions juridiques seront également à mettre en place dans le processus des traitements, afin d’anticiper tout problème éventuel (exemple : fuite, diffusion non autorisée, droits des personnes fichées). Entrepreneurs, n’hésitez pas à faire appel au service d’un expert spécialisé dans la législation pour la protection de l’information et à souscrire à une assurance adaptée pour protéger votre entreprise en cas de cyberattaque ou de perte de données. Si besoin, découvrez notre assurance CyberClear.
Assurez la formation des salariés
Assurez-vous que vos employés comprennent les enjeux du RDGP. À tout moment, la circulation des données personnelles doit être protégée. Prenez également en compte l’ensemble des évènements qui peuvent survenir durant le processus de traitement (changement de prestataire, cyber-attaque, changement du personnel etc.). Vous devez sensibiliser vos employés sur les meilleures pratiques à adopter. Voici une vidéo afin de mieux comprendre les enjeux du Règlement Européen sur la Protection des Données.
N'hésitez pas à mettre les fiches pratiques de la CNIL à leur disposition et à les faire participer aux ateliers qu'elle organise. Cela leur permettra de mieux comprendre les enjeux du RGPD grâce à des exemples concrets.
Quelles sont les obligations des TPE/PME pour protéger les données personnelles ?
Comme nous l'avons dit plus tôt, le RGPD s'applique à toutes les structures, quelle que soit leur taille. Les TPE et PME sont donc également concernées. Toutefois, l'application du texte change en fonction de la nature, des finalités et des risques de traitement de la data. De ce fait, les TPE n'ont pas tout à fait les mêmes obligations que les grosses entreprises.
Les exceptions concernent la désignation d’un Data Protection Officer ou DPO. Les TPE ne sont pas obligées d'en désigner un et les PME peuvent disposer d'un DPO externe à l'entreprise. En outre, les analyses d'impact des données ne sont généralement pas nécessaires non plus dans les plus petites structures.
Faciliter l'exercice du droit de portabilité
Le RPGD confère un certain nombre de droits aux personnes dont les données sont traitées. Les TPE et PME doivent désormais leur donner la possibilité d'exercer :
- le droit de portabilité : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, pour les transférer si besoin à un tiers. La finalité ici est de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée ;
- le droit à réparation des dommages matériel ou moral : un responsable de traitement de données peut se voir dans l'obligation de réparer le préjudice matériel ou moral subi par une personne suite à une violation de données lui incombant.
Rendre compte de la conformité au RGPD
À partir du moment où un organisme collecte des données à caractère personnel, il est considéré "responsable de traitement" de ces dernières. Cela ne signifie pas seulement qu'elle est en charge de la collecte et du traitement, mais qu'elle est responsable de la conformité de ces procédés avec le RGPD.
Concrètement, l'entreprise doit être en mesure de prouver qu'elle met tout en œuvre pour assurer la protection des données qu'elle utilise, et ce d'un point de vue physique et numérique. Bien que la CNIL prône une autonomisation et une auto-régulation des entreprises, elle effectue parfois des contrôles. Le registre des traitements vous sera obligatoirement demandé à cette occasion.
Comment savoir si l'on respecte la base légale du RGPD ?
Même sans obligation d'enregistrement à la CNIL, vous disposez d'autres moyens afin de vous assurer que votre employeur respecte bien les règles de protection des données personnelles.
La désignation d'un Délégué à la protection des données (DPO) n'est pas une obligation dans le secteur privé mais permet d'avoir un interlocuteur spécialisé. Le DPO exerce ses missions en toute indépendance et sera l'interlocuteur dans l'entreprise sur les questions "informatique et libertés".
Auprès du DPO, vous pouvez :
- Vous assurer que tel ou tel fichier est bien inscrit dans le Registre des activités de traitement
- Exercer vos droits "informatique et libertés".
- Connaître les conditions dans lesquelles vos données personnelles sont traitées par votre société (politique de confidentialité des données). Vous devez être informé de ces conditions et de vos droits "de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples".
Mise en place du RGPD dans les TPE/PME
Nous vous avons donné toutes les étapes pour réussir votre mise en conformité par rapport au RGPD. Afin de tout connaître sur ce nouveau dispositif européen et les procédés à mettre en place, nous vous invitons à télécharger notre livre blanc, réalisé en partenariat avec le cabinet LLC & Associés Avocats. La CNIL propose également de nombreux conseils et rappels des impératif de ce texte sur son site.
Bien qu'elles bénéficient d'exceptions, les TPE et PME ont de nombreuses responsabilités vis-à-vis des informations qu'elles traitent et collectent. Si une entreprise est reconnue responsable d'une violation de données, les conséquences juridiques peuvent être très lourdes. Il faut donc tout mettre en œuvre pour respecter les règles du RGPD et le cadre légal qu’elle impose, notamment dans le consentement du traitement de la data.
Et que fait Hiscox ?
En cas de perte, même accidentelle des données personnelles de vos clients, c’est la responsabilité civile de votre entreprise qui est engagée. L’assurance responsabilité civile professionnelle vous couvre en cas de divulgation d’informations confidentielles de tiers. Faites gratuitement votre devis en ligne.
Categories:
Votre estimation d'assurance
A propos de votre entreprise: