Règlement général sur la protection des données : dernière ligne pour les entreprises avant le 25 mai 2018

« RGPD », n’est pas le code d’accès de votre smartphone, ni le mot de passe de votre e-mail, mais l’acronyme qui désigne en réalité le Règlement général sur la protection des données. Ce règlement est le nouveau cadre européen relatif au traitement et à la circulation des données personnelles. Les entreprises sont amenées à traiter de plus en plus de données personnelles, elles s’appuient sur ces dernières pour proposer des services et produits.
Le 25 mai est la date à laquelle les structures traitant ces données à caractère personnel devront être en conformité avec ce règlement.
Clic formalités fait le point sur ce règlement : qui est soumis ? comment ? pourquoi ?…

Créer votre entreprise en toute simplicité 

Le RGPD en 4 questions

1. Quoi :  les données personnelles, définition 

Qu’entend-on par « données personnelles » ?
La donnée personnelle est définie dans l’article 2 du RGPD comme “ toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres …. ».
Les données personnelles peuvent ainsi recouvrir de nombreuses formes :
– nom ;
– immatriculation ;
– localisation ;
– numéro de sécurité sociale ;
– adresse électronique ;
– date de naissance ;
– informations de paiement ;
– numéro de téléphone ;
– empreinte ;
– adresse IP ;
– habitudes de consommation, etc.
Une personne est identifiée dans un fichier dès qu’apparaît l’une de ces données.

Le second élément à prendre en considération lorsque l’on parle de protection des données personnelles est le fait de savoir si cette donnée est ou non sensible. Ainsi, une donnée sera classée comme sensible si elle fait référence :
– à l’origine raciale ou ethnique ;
– aux opinions politiques, convictions religieuses ou philosophiques ;
– à l’appartenance syndicale ;
– à l’orientation sexuelle ;
– à des informations génétiques, des données biométriques ;
– à des données relatives à des infractions et condamnations, etc.

Ce type de données sensibles fait l’objet dans le meilleur des cas à un traitement strictement encadré ou généralement à une interdiction de  traitement.

2. Pourquoi : un équilibre à respecter entre liberté d’entreprendre et droit à la vie privée

L’élaboration du règlement général sur la protection des données a nécessité un juste équilibre entre deux libertés antagonistes : la liberté d’entreprendre d’une part; le droit à la vie privée d’autre part.
La liberté d’entreprendre repose de plus en plus sur les nouvelles technologies et le numérique. Les TPE et PME s’appuient sur le digital (cloud, big data, open data etc.). Les entreprises sont confrontées à des volumes de données (data) à traiter de plus en plus considérables qui présentent de forts enjeux commerciaux et marketing. La transformation digitale de la société se nourrit des informations personnelles des citoyens (tracking, applications mobiles, objets connectés, cookies, etc.).
Le droit à la vie privée vient tempérer cette liberté d’entreprendre. Les consommateurs deviennent des citoyens avertis, conscients de leur droit à disposer de leurs données personnelles, et au fait d’avoir la possibilité de demander des comptes aux entreprises et organismes quant à l’utilisation et la gestion des données récoltées.
Le RGPD a été mis en place dans le but de renforcer le contrôle par les citoyens de l’utilisation des données les concernant au sein de l’Union européenne. Il s’inscrit ainsi dans la continuité de la loi “informatique et liberté” votée par le parlement français en 1978. Cette protection des données personnelles ne concerne pas uniquement les consommateurs, elle vise également les salariés de l’entreprise, les prospects, les fournisseurs etc.

3. Qui est concerné par le RGPD ?

Ce règlement s’applique à toutes les organisations publiques ou privées et entreprises qui détiennent ou traitent des données personnelles de résidents européens. L’entreprise est concernée si elle est établie sur le territoire de l’UE ou si son activité vise directement des résidents européens alors même qu’elle serait basée en dehors de l’Europe. Le RGPD s’applique également aux sous-traitants qui traitent des données personnelles pour le compte d’autres entités.
Le traitement de données personnelles comprend toute collecte, tout enregistrement, toute organisation, etc. Une entreprise qui effectue une livraison, édite une facture, propose une carte de fidélité, manipule des données personnelles ; toutes ces opérations font ainsi l’objet d’un traitement des données personnelles.

4. Quand ?

Le règlement entre en application le 25 mai 2018. Il ne reste plus que quelques jours aux entreprises pour se mettre en conformité avec ce dispositif. Pour l’instant, la CNIL n’a pas indiqué accorder de délais supplémentaires pour la mise en conformité avec ce règlement.

Les 6 Conseils pour réussir sa mise en conformité avec le RGPD

Le 25 mai 2018, toutes les entreprises manipulant des données, devront être en conformité avec le RPGD. Voici 6 conseils pour vous aider à cette mise en œuvre.

1er : Désignation d’un délégué à la protection des données (DPO)

La désignation d’un délégué à la protection des données (DPO) n’est obligatoire que dans 2 cas :
– la structure est un organisme public ;
– l’entreprise dont l’activité de base implique un suivi régulier et systématique des personnes à grande échelle, ou le traitement à grande échelle de données “sensibles” ou relatives à des condamnations pénales ou des infractions.
Les structures n’entrant pas dans ce cadre ne sont pas obligées de désigner un DPO, cependant il est fortement conseillé de désigner une personne jouant ce rôle d’interface entre les différents acteurs manipulant les données au sein de la société et les autorités de protection des données.

2ème : Recensement de l’ensemble des données

Chaque entreprise devra lister l’ensemble des données personnelles afin d’avoir une vision globale du traitement et de la gestion de ces données. Une identification des activités principales nécessitant la collecte et le traitement de ces données sera opérée grâce à la mise en place d’un registre. Chaque activité pourra faire l’objet d’une fiche mentionnant 5 points principaux :
objectif poursuivi de la collecte de cette information ;
catégories de données utilisées (nom, date de naissance, téléphone, etc.) ;
personnes ou services ayant accès aux données (service RH, direction, etc.) ;
mesures de sécurité à mettre en place ;
durée de conservation des données.

3ème : Liste des actions à mener

A partir de ce registre, il sera plus facile de déterminer les différentes actions à mener pour sécuriser les données et répondre à la législation. Un classement sera opéré entre les différentes actions prioritaires ou secondaires à mettre en place. Les choix dépendront notamment de la détermination des données sensibles ou non sensibles.

4ème : Analyse d’impact sur la protection des données (PIA) dans la gestion de données sensibles

Si l’entreprise détecte des données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, elle devra alors mener une “analyse d’impact sur la protection des données”. Cette analyse a pour but de faciliter la mise en place de process garantissant la protection des informations et de démontrer la conformité du traitement des données avec le RGPD.
La CNIL a mis en place un outil PIA (privacy impact assessment) afin de faciliter « la conduite et la formalisation d’impact sur la protection des données ».

5ème : Mise en place des process internes de traitement des données personnelles

La mise en place de procédures internes doit garantir la sécurité du traitement et du stockage des données. Chaque procédure doit être envisagée en réponse à une situation particulière : faille de sécurité, gestion des demandes de rectification, modification des données collectées, etc. Chaque société étant unique, chaque procédure sera pensée en fonction des besoins et du cadre général de l’entreprise.  L’anticipation sera également un des facteurs clés de la réussite de la sécurisation des données.

6ème : Mise en place d’une veille sur la sécurité des données

Le dernier point à retenir pour réussir cette mise en conformité avec le RGPD, réside dans la veille à la fois juridique mais également la veille des systèmes d’information.
En effet, chaque entreprise devra se tenir au courant des dernières nouveautés législatives et réglementaires, mais également de l’évolution des nouvelles technologies des systèmes d’information.

Les organismes ne respectant pas cette nouvelle réglementation encourent des sanctions administratives lourdes :
– 20 Millions € ;
– 4% chiffre d’affaires annuel mondial ;
– atteinte à la réputation et à la crédibilité de l’entreprise.

Créer votre entreprise en toute simplicité 

Le traitement des données personnelles par les entreprises s’inscrit à présent dans un cadre législatif strict. Cette mise en conformité avec le règlement devrait être également envisagée comme une opportunité pour chaque entreprise de mieux gérer les données personnelles de ses clients, d’en valoriser le contenu, le tout dans une démarche éthique. Le RGPD est ainsi une occasion pour améliorer l’efficacité commerciale des sociétés tout en rassurant les consommateurs et interlocuteurs avec qui elles sont en lien.
Respect, confiance et sécurité sont les 3 mots clés d’une mise en application de ce règlement.

sources :
https://www.cnil.fr/professionnel
https://www.bpifrance.fr/A-la-une/Actualites/RGPD-decouvrez-notre-guide-de-bonnes-pratiques-pour-les-TPE-et-PME.-40008