Actualités

Règlement Général sur la Protection des Données (RGPD)

24/04/2018

Le Règlement Général sur la Protection des Données entrera en vigueur le 25 mai 2018. Ce nouveau cadre européen s’applique à toutes les organisations publiques, privées ou associatives, dans tous les secteurs et ce, dans le monde entier, sur la gestion des données personnelles relative aux citoyens de l’Union Européenne.

Toutes les entreprises, dont les TPE et PME, ont à traiter des données permettant d’identifier des personnes physiques.
À cet égard, le 25 mai 2018 constitue une étape cruciale : la protection de ces informations est en effet renforcée avec l’entrée en application du « Règlement Général sur la Protection des Données » (RGPD).

La CNIL vient de mettre à disposition un guide de sensibilisation pour les petites et moyennes entreprises. Lire ce guide

Pourquoi une réforme de la protection des données personnelles ?

Suite à l’explosion de la cybercriminalité dirigée vers les entreprises, l’Union Européenne a souhaité renforcer la protection de ses citoyens et notamment garantir la sécurité et la confidentialité des données à caractère personnel !
Ainsi, le RGPD (ou GDPR en anglais) a vu le jour avec, pour ambition, de :

  • Renforcer les droits des personnes, notamment par l’exigence d’un consentement plus qualifié, par la création de nouveaux droits comme le droit à la limitation et à la portabilité des données personnelles et par des dispositions propres aux personnes mineures,
  • Renforcer les obligations des organismes en exigeant qu’ils aient défini une durée de conservation qui est annoncée aux personnes dont les données sont collectées,
  • Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) les obligeant à intégrer la protection des données personnelles en amont de tout projet selon le principe de Privacy by design.

RGPD : les TPE-PME sont-elles concernées ?

En ce qui concerne la protection des données personnelles, les petites entreprises sont concernées au même titre que les grandes ! En effet, toutes les entreprises doivent se mettre en conformité avec cette nouvelle réglementation, quel que soit leur taille et leur secteur d’activité. Les organisations publiques, collectivités territoriales et associations sont également concernées.

Ainsi, les TPE devront être en capacité de démontrer à tout moment qu’elles respectent les principes relatifs aux traitements des données personnelles.

Elles devront également revoir leurs relations contractuelles donneur d’ordre / sous-traitants et veiller à une plus grande sécurité des données.

Qu’est-ce qu’une donnée personnelle ?

C’est une information se rapportant à une personne physique identifiée ou identifiable, c’est-à-dire qui peut être identifiée directement ou indirectement par référence, entre autres, à :

  • un identifiant tel qu’un nom, numéro d’identification,
  • des données de localisation,
  • un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Quelles sont les nouvelles obligations en matière de gestion des données personnelles ?

Avec la mise en application de la RGPD, on abandonne le régime déclaratif de la CNIL, au profit de la responsabilité de l’entreprise qui définit sa propre politique de protection des données, documente et trace ses processus. Pour respecter cette nouvelle réglementation, les TPE-PME devront se plier à six grandes actions incontournables :

  • La mise en conformité contractuelle et juridique,
  • La gestion du statut de « sous-traitant » s’il est constaté, et ce afin de rassurer les clients concernés,
    La mise en place de toutes les mesures techniques et organisationnelles visant la protection des données à caractère personnel,
  • La nomination d’un délégué à la protection des données personnelles (Data Protection Officer). Cette fonction peut être externalisée ou mutualisée.
  • La mise en place d’une gouvernance adaptée (procédures claires, rôles définis),
  • La gestion récurrente du plan de mise en conformité.

RGPD : quelles sont les sanctions encourues ?

Ces nouvelles obligations s’accompagnent d’une aggravation sans précédent des sanctions afin d’inciter fortement les entreprises à agir ! En effet, les amendes pourront aller jusqu’à 4 % du chiffre d’affaires mondial. C’est la CNIL qui se chargera des contrôles en procédant à des vérifications dans les locaux des entreprises (en ligne, sur audition et sur pièces).

TPE : comment tirer profit du RGPD ?

L’entrée en vigueur de la réglementation sur la gestion des données personnelles est une excellente opportunité de revoir processus et méthodes pour optimiser le fonctionnement de votre TPE. Et cela au-delà des fonctions informatiques, c’est l’occasion de :

  • Montrer que vous respectez vos utilisateurs
  • Renforcer la confiance de vos clients
  • Développer une image positive

TPE : comment se mettre en conformité avec le RGPD ?

La mise en conformité est un travail complexe pour les TPE car plusieurs fonctions sont concernées :

  • Les ressources humaines ou la personne en charge de la gestion sociale qui centralisent les données personnelles des salariés (y compris les candidats à des offres d’emplois), et qui ont la responsabilité de conserver ou supprimer ces données en cas de départ ;
  • Les outils informatiques qui répertorient les données des clients et des fournisseurs ;
  • Les contrats qui doivent tenir compte des questions de protection des données personnelles