TPE/PME : Tout savoir pour une mise en conformité RGPD réussie

Il n'y a plus besoin de le présenter, tout le monde connaît le Règlement Général sur la Protection des Données de l'Union Europénne ! Depuis le 25 mai 2018, les entreprises ont l’obligation de le mettre en application. Cette loi a pour objectif de réguler le traitement des données personnelles par les structures privées et publiques. Toutes les entreprises et les organisations doivent prouver qu’elles assurent la protection des données, de leurs clients mais également de leurs collaborateurs, conformément à la loi.

Si vous avez des doutes concernant la conformité de votre entreprise par rapport au RGPD, cet article est pour vous. Nous vous rappelons les principes du RGPD, ainsi que les obligations imposées aux TPE et PME, de manière à vous guider dans la mise en conformité de votre entreprise.

Règlement général sur la protection des données : Définition et Origine

Face à la diffusion croissante des données personnelles, l'Union Européenne a décidé d'agir en créant un cadre législatif destiné à protéger les utilisateurs. Cela s'est matérialisé à travers le Réglement Général de Protection des Données, entré en vigueur le 25 mai 2018 dans les 27 pays de l'UE.

Le RGPD a été conçu pour établir des règles en matière de collecte et d'utilisation des données, notamment par les entreprises. Ce texte poursuit trois objectifs à l'échelle européenne :

• Renforcer les droits des personnes quant à leurs données
• Responsabiliser les acteurs traitant les données
• Crédibiliser la régulation grâce à une approche unifiée de la protection

Afin de parvenir à ces objectifs, le RGPD de la CNIL repose sur trois grands principes.

Quelles sont les normes (et principes) du RGPD de la CNIL ?

Le consentement

Étant donné que le premier objectif du RDGP est de renforcer les droits des personnes vis-à-vis de leurs données personnelles sur Internet, et en physique, obtenir un consentement explicite et positif des utilisateurs est indispensable. Les personnes dont les données sont collectées doivent en être constamment informées. Elles doivent également donner leur accord, tout en ayant la possibilité de le retirer à tout moment.

La transparence

Un consentement éclairé ne peut être obtenu que si les utilisateurs sont conscients de la façon dont leurs données sont traitées. Ainsi, les structures ont l'obligation de fournir aux personnes des informations claires sur ce traitement, et ce dès la phase de collecte.

La responsabilisation

Le RGPD s'applique sur la base de la responsabilisation et de l'auto-régulation. L'Union Européenne, à travers ce texte, reconnaît les entreprises responsables de la façon dont les données sont collectées et traitées (principe d'accountability). De plus, elle promeut une plus grande autonomie et l'auto-régulation en allégeant les formalités administratives qui y sont liées.

Comment mettre son entreprise en conformité avec le rgpd ?

Le RGPD s'applique dans toute structure privée ou publique, quels que soient le secteur d'activité ou la taille, collectant ou traitant des données dans l'Union Européenne. Cela signifie que les PME et TPE sont également concernées par le RGPD. Les chefs d'entreprise doivent donc assurer la conformité de leur entreprise avec le RGPD.

Qu'est-ce que la mise en conformité rgpd ?

La mise en conformité au RGPD correspond à la mise en place de toutes les mesures nécessaires à l'entreprise pour collecter et traiter les données dans le respect de ce règlement. Il est fort probable que vous ayez déjà entamé cette mise en conformité depuis la publication du règlement en 2018. Toutefois, la conformité est un concept très évolutif. Il est important de faire un état des lieux de manière régulière afin de garantir la conformité de vos pratiques actuelles avec le RGPD.

Comment se conformer : les étapes à suivre

Désigner un Data Protection Officer

Le nouveau règlement rend obligatoire la désignation d’une personne chargée de la gestion du traitement des données personnelles dans votre organisation. Ce responsable aura pour objectif de s’assurer que votre structure respecte les obligations du RGPD. Le Data Protection Officer (ou délégué à la protection des données) définira les actions principales à mener et assurera la bonne conduite de votre stratégie. Il doit être en mesure de proposer des recommandations, et d’assurer la gestion de l’organisation des données.

Petites structures, nous vous conseillons de vous adjoindre les services de professionnels comme les nouveaux services offerts par les acteurs de la Legaltech. Vous pouvez aussi faire appel à un consultant indépendant.

Réaliser un état des lieux

Afin d’assurer la mise en conformité du RGPD, vous devez effectuer un audit pour identifier et évaluer les différents traitements de données personnelles mis en œuvre par votre entreprise pour son activité et le type de données collectées. La personne chargée du « projet RGPD », doit recenser les types de données personnelles en possession de votre entreprise, ainsi que la durée de conservation de ces données. Le but est d’identifier les processus concernés par le RGPD puis d’évaluer leur niveau de conformité. Cette étape nécessite la transmission de tous les documents (papier ou électronique) relatifs aux traitements de données. À l’issue de cette étape, il serait judicieux de réaliser un registre des traitements, ce document pourra vous être demandé par le CNIL.

N’oubliez pas de régulièrement mettre à jour vos documents pour favoriser une protection des données en continu.

Ciblez les données collectées

Grâce à votre registre des traitements de données, vous serez en mesure de définir les actions à entreprendre, afin de respecter les obligations du RGPD. Pensez à prioriser les actions selon le risque que font peser vos traitements sur les droits et les libertés des personnes concernées.

Il est judicieux de se cantonner à la collecte des données absolument nécessaires à votre activité. De plus, en limitant la quantité de données que vous traitez, il vous sera plus facile de le faire dans le total respect des droits des personnes définis par le RGPD.

Afin de déterminer la quantité de données traitées et les procédés, appuyez-vous sur deux principes. Le principe de finalité établit la manière dont vous utiliserez ou réutiliserez les données dans le futur. Cela permet de savoir quel type de données vous sera vraiment utile. Par ailleurs, grâce au principe de minimisation, vous vous assurez de ne collecter que les données vraiment nécessaires à la poursuite de vos objectifs. Ces principes s'appliquent également à la durée de conservation des données, dans le fichier client par exemple.

Soyez transparents avec les utilisateurs

Une entière transparence est nécessaire pour se conformer au RGPD. Les personnes dont vous collectez les données doivent être clairement informées de l'utilisation qui en sera faite.

La transparence concerne également l'exercice des droits des personnes. Vous devez faire connaître aux personnes leurs droits en rapport avec leurs données et les modalités leur permettant de les exercer. L'entreprise doit fournir une adresse électronique dédiée à ce type de demandes. Ensuite, cela implique de répondre dans les meilleurs délais aux demandes de consultation, d'accès, de rectification ou de suppression des données. 

En outre, vous devez informer les personnes de la durée de conservation de leurs données "de manière active". Une durée qui doit correspondre au temps strictement nécessaire pour parvenir au but poursuivi. Vous serez ensuite dans l'obligation de les détruire, les anonymiser ou les archiver selon les règles applicables.

Gérer les risques

Entrepreneurs, vous devez également réaliser une analyse d’impact relative à la protection des données (DPIA). Cette analyse d’impact est un outil important pour la responsabilisation des organismes. Concrètement, elle doit vous aider à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au RGPD.

Notez qu’elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées. Un risque élevé est un scénario décrivant :

• Un événement redouté (accès non autorisé, modification non désirée ou encore disparition des données et ses impacts potentiels sur les droits et libertés des personnes).
• Toutes les menaces qui permettraient qu’il survienne

Vous avez le devoir de prendre toutes les mesures utiles pour garantir la sécurité des données. Cela passe par la sécurité physique des locaux, comme la sécurité informatique (gestion des habilitations et droits d'accès). Assurez-vous que seuls les tiers dûment habilités n'ont accès aux données.

Mettez à jour régulièrement votre système informatique pour mieux sécuriser les données. Anticipez toute situation problématique, en consultant notre article sur les causes d’échecs des projets informatiques.

Des précautions juridiques seront également à mettre en place dans le processus de traitement des données, afin d’anticiper tout problème éventuel (exemple : fuite de données, droits des personnes fichées). Entrepreneurs, n’hésitez pas à faire appel à un expert spécialisé dans la législation pour la protection des données et à souscrire à une assurance adaptée pour protéger votre entreprise en cas de cyberattaque ou de perte de données. Si besoin, découvrez notre assurance CyberClear.

Assurez la formation des salariés

Assurez-vous que vos employés comprennent les enjeux du RDGP. À tout moment, la circulation des données personnelles doit être protégée. Prenez également en compte l’ensemble des évènements qui peuvent survenir durant le processus de traitement (changement de prestataire, cyber-attaque, changement du personnel etc.). Vous devez sensibiliser vos employés sur les meilleures pratiques à adopter. Voici une vidéo afin de mieux comprendre les enjeux du Règlement Européen sur la Protection des Données.

N'hésitez pas à mettre les fiches pratiques de la CNIL à leur disposition et à les faire participer aux ateliers qu'elle organise. Cela leur permettra de mieux comprendre les enjeux du RGPD grâce à des exemples concrets.

Quelles sont les obligations des TPE/PME en matière de protection des données personnelles ?

Comme nous l'avons dit plus tôt, le RGPD s'applique à toutes les structures, quelle que soit leur taille. Les TPE et PME sont donc également concernées. Toutefois, l'application du texte change en fonction de la nature, des finalités et des risques de traitement des données. De ce fait, les TPE n'ont pas tout à fait les mêmes obligations que les grosses entreprises.

Les exceptions concernent notamment l'obligation de désigner un Data Protection Officer. Les TPE ne sont pas obligées d'en désigner un et les PME peuvent disposer d'un DPO externe à l'entreprise. En outre, les analyses d'impact des données ne sont généralement pas nécessaires non plus dans les plus petites structures.

Faciliter l'exercice du droit de portabilité

Le RPGD confère un certain nombre de droits aux personnes dont les données sont traitées. Les TPE et PME doivent désormais leur donner la possibilité d'exercer :

• le droit de portabilité : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, pour les transférer si besoin à un tiers. Le but est de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée ;
• le droit à réparation des dommages matériel ou moral : un responsable de traitement de données peut se voir dans l'obligation de réparer le préjudice matériel ou moral subi par une personne suite à une violation de données lui incombant.

Rendre compte de la conformité au RGPD

À partir du moment où une entreprise collecte des données à caractère personnel, elle est considérée "responsable de traitement" des données. Cela ne signifie pas seulement qu'elle est en charge de la collecte et du traitement, mais qu'elle est responsable de la conformité de ces procédés avec le RGPD.

Concrètement, l'entreprise doit être en mesure de prouver qu'elle met tout en œuvre pour assurer la protection des données qu'elle utilise, et ce d'un point de vue physique et numérique. Bien que la CNIL prône une autonomisation et une auto-régulation des entreprises, elle effectue parfois des contrôles. Le registre des traitements vous sera obligatoirement demandé à cette occasion.

Comment savoir si l'on respecte la base légale du RGPD ?

Même sans obligation d'enregistrement à la CNIL, vous disposez d'autres moyens afin de vous assurer que votre employeur respecte bien les règles de protection des données personnelles.

La désignation d'un Délégué à la protection des données (DPO) n'est pas une obligation dans le secteur privé mais permet d'avoir un interlocuteur spécialisé. Le DPO exerce ses missions en toute indépendance et sera l'interlocuteur dans l'entreprise sur les questions "informatique et libertés".     

Auprès du DPO, vous pouvez :

• Vous assurer que tel ou tel fichier est bien inscrit dans le Registre des activités de traitement
• Exercer vos droits "informatique et libertés".
• Connaître les conditions dans lesquelles vos données personnelles sont traitées par votre société (politique de confidentialité des données). Vous devez être informé de ces conditions et de vos droits "de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples".

Mise en place du RGPD dans les TPE/PME

Nous vous avons donné toutes les étapes pour réussir votre mise en conformité par rapport au RGPD. Afin de tout connaître sur le RGPD et les obligations à mettre en place, nous vous invitons à télécharger notre livre blanc, réalisé en partenariat avec le cabinet LLC & Associés Avocats. La CNIL propose également de nombreux conseils et rappels des obligations sur son site.

Bien qu'elles bénéficient d'exceptions, les TPE et PME ont de nombreuses responsabilités vis-à-vis des données qu'elles traitent et collectent. Si une entreprise est reconnue responsable d'une violation de données, les conséquences peuvent être très lourdes. Il faut donc tout mettre en œuvre pour respecter les règles du RGPD.

Et que fait Hiscox ?

En cas de perte, même accidentelle des données personnelles de vos clients, c’est la responsabilité civile de votre entreprise qui est engagée. L’assurance responsabilité civile professionnelle vous couvre en cas de divulgation d’informations confidentielles de tiers. Faites gratuitement votre devis en ligne.